SSH アクセスをブロックするファイアウォール ルールを作成する前に、次の手順に従って SSH サービスを有効にし ておく必要があります。
1. [サービス プロパティ] リンクをクリックします (図 112 を参照)。
2. [サービス プロパティ] パネルで SSH サービスを選択します (図 117 を参照)。SSH サービスが停止していること
が表示されます。サービスを有効にするには、[オプション] をクリックします。
図 117
図 118
図 119
5. ファイアウォールの [プロパティ] リンクをクリックすると、図 120 のような [ファイアウォールのプロパティ] パネルが表示されます。[SSH] カテゴリで [SSH サーバ] を選択し、[ファイアウォール] をクリックします。
6. この例の環境では、IP アドレスが 10.91.35.55 の仮想マシン VM_02 からの SSH リモート アクセスのみを有効に する必要があります。それ以外のすべての IP アドレスからの SSH 接続は拒否されます。また、[次のネットワーク からの接続のみを許可します:] フィールドで IP アドレスの範囲またはサブネット クラスを指定することもでき ます (図 121 を参照)。
図 121
仮想マシン VM_02 にのみリモート アクセスを許可するようにファイアウォールを構成したあと、別の仮想マシン から PuTTY セッションを確立して、このファイアウォールをテストできます。
SSH ファイアウォールルールのテスト
この例の環境では、Host3 (tm-pod01-esx03.tmsb.local) で実行されている次の 2 台の仮想マシンから SSH セッ ションの確立を試みます。
1. VM_02: IP アドレスは 10.91.35.55 2. VM_04: IP アドレスは 10.91.35.67
最初に、VM_02 で PuTTY ツールを使用して、SSH セッションの確立を試行します。この仮想マシンの IP アドレス は、ファイアウォール構成内で許可されている IP アドレスの 1 つです。したがって、SSH 接続は確立されることが 予測できます。
図 122
図 123 に、Host1 のログイン画面を示します。このホストにログインするには、ルートの認証情報を使用します。
VM_04 (10.91.35.67)から SSH 接続を確立する手順を実行すると、[Network error: Connection timed out
(ネットワーク エラー: 接続がタイムアウトしました)] というメッセージが表示されます (図 124 を参照)。これは、
ESXi ファイアウォールによって、TCP ポート 22 上で、10.91.35.55 以外の IP アドレスからのアクセスがブロック されるためです。
図 124
Image Builder
はじめに
このセクションでは、vSphere 5.0 Image Builder を使用して、vSphere 5.0 環境にホストを展開する際に使用す るカスタム ESXi イメージの作成および保持の方法について学習します。ESXi のこれまでの課題は、vSphere の インストール イメージの固定的な特質によるものでした。お客様が新しいハードウェアを導入し、ベンダーが CIM プロバイダおよびソフトウェア ドライバに対するアップデートをリリースするにつれて、これらのアップデートを ESXi 環境に組み込むことは困難になりました。Image Builder を使用すると、これらの ESXi イメージをアップデート および保持し、常に最新のソフトウェア ドライバおよびアップデートを適用してシステムを最新状態に保つことがで きます。
ESXI VIB
新しいイメージの生成 デポ
プロファイルイメージ
ISO イメージ PowerCLI および Image Builder
スナップインがインストールされた Windows ホスト
Image Builder の前提条件
vSphere 5.0 Image Builder を使用するには、次のコンポーネントが必要です。
• 2 GB の空きディスク容量 (vSphere PowerCLI をホストし、Image Builder ソフトウェア デポを格納するため に使用) を持つ Windows 仮想マシン
• vSphere PowerCLI 5.0
• ESXi オフライン バンドル
• vCenter Server 5.0
準備タスク
Image Builder 5.0 の評価を開始する前に、次の手順を実行します。
vSphere PowerCLI のインストール
http://www.vmware.com/jp から vSphere 5.0 PowerCLI をダウンロードして、インストールします。ダウンロード ファイルは、自己解凍型の実行ファイルです。.exe ファイルをダブルクリックして vSphere PowerCLI インストーラ を起動し、プロンプトに従います。vSphere PowerCLI のインストールの詳細については、『vSphere PowerCLI Userʼ s Guide』(英語) およびこのガイドの 「vSphere PowerCLI の使用例」 セクションを参照してください。
ESXi オフラインバンドルのダウンロード
ESXi オフライン バンドルの zip ファイルを http://www.vmware.com/jp からダウンロードします。オフライン バンドルは zip 形式で配布されます。このファイルを、vSphere PowerCLI がインストールされたサーバと同じサーバ にダウンロードします。
ESXi オフラインバンドルの展開
C:\ImageBuilder ディレクトリを作成し、このディレクトリにオフライン バンドルを展開します。
Image Builder vSphere PowerCLI セッションの開始
次の手順では、vSphere PowerCLI セッションを開始し、vCenter Server に接続する方法を示します。
デスクトップの [vSphere PowerCLI] アイコンをダブルクリックするか、次の順で選択し、vSphere PowerCLI を開始します。
[start] - [program] - [VMware vSphere PowerCLI] - [VMware vSphere PowerCLI]
vSphere PowerCLI のプロンプトで、「Connect-VIServer」コマンドレットを次のように実行して、vSphere PowerCLI セッションを vCenter Server に接続します。
PowerCLI C:\> Connect-VIServer <vCenter IP address>
図 126: Connect-VIServer
次のように、ログイン認証情報によっては、vCenter Server のユーザー名およびパスワードを入力するように求め られることがあります。
図 128: Connect-VIServer の結果
ESXi オフライン バンドルのインポート
このセクションでは、準備タスクで C:\ImageBuilder ディレクトリにステージングされた ESXi オフラインの デポを使用して、ESXi ソフトウェアのデポをインポートする方法を示します。
PowerCLI C:\> Add-EsxSoftwareDepot C:\ImageBuilder
ソフトウェア デポの表示
ソフトウェア デポを追加する場合は、Add-ESXSoftwareDepot コマンドレットを使用し、削除する場合は、
Remove-SoftwareDepot コマンドレットを使用します。現在の vSphere PowerCLI セッションで使用可能な ソフトウェア デポのリストを表示するには、$DefaultSoftwareDepots 変数を使用します。
使用可能なソフトウェア デポを表示するには、次のように入力します。
PowerCLI C:\> $DefautSoftwareDepots
図 130: ソフトウェア デポの表示
VIB の表示
vSphere Installation Bundle (VIB) は、vSphere で使用可能なパッケージング フォーマットです。VMware およ びそのパートナーは、ソリューション、ドライバ、CIM プロバイダ、およびアプリケーションを VIB としてパッケー ジングします。パッケージングされた VIB は、ESXi イメージ プロファイルを作成するためにグループ化されます。
vSphere PowerCLI セッションに追加されたソフトウェア デポ内の使用可能な VIB を表示するには、 Get-EsxSoftwarePackage コマンドレットを使用します。
PowerCLI C:\> Get-EsxSoftwarePackage
図 131: Get-EsxSoftwarePackage
イメージ プロファイルの表示
イメージ プロファイルは、ESXi ホストのインストールに使用可能な ESXi イメージを構成する VIB をコンパイルし たものです。少なくとも 1 つの基本 ESXi VIB および 1 つの起動可能なカーネル モジュール VIB で構成されますが、
使用可能なソフトウェア デポのプール内にある VIB を追加で含めることもできます。構成されたイメージ プロファ イルを表示するには、Get-EsxImageProfile コマンドレットを使用します。
PowerCLI C:\> Get-EsxImageProfile
図 132: Get-EsxImageProfile
イメージ プロファイルを構成する VIB を表示するには、Get-EsxImageProfile コマンドレットを使用して、
VibList プロパティを展開します。
PowerCLI C:\> Get-EsxImageProfile MyProfile | Select –ExpandProperty VibList
新しいイメージ プロファイルの作成
次の手順では、VIB コンポーネントを個別に手動で選択するか、既存のイメージ プロファイルのクローンを作成して、
カスタム イメージ プロファイルを作成する方法を示します。
各イメージ プロファイルは、次の要件を満たす必要があります。
• 一意の名前が付いている
• 少なくとも 1 つの基本 ESXi VIB および 1 つの起動可能なカーネル モジュールが含まれている
• 各 VIB の許容レベルが、プロファイルに定義された許容レベルと一致する
• VIB はイメージ プロファイルに 1 回のみ存在できる
• VIB の依存関係がすべて満たされる
個々の VIB の手動選択によるイメージプロファイルの新規作成
ESXi 基本イメージを含む 「MyNewProfile」 という名前の新しいイメージ プロファイルを作成します。
PowerCLI C:\> New-EsxImageProfile –NewProfile “MyNewProfile” –vendor “VMware”
–SoftwarePackage esx-base
図 134: New-EsxImageProfile
次に、VIB 「esx-tboot」 を 「MyNewProfile」 に追加します。
PowerCLI C:\> Add-EsxSoftwarePackage -ImageProfile “MyNewProfile” –SoftwarePackage “esx-tboot”
VIB 「net-e1000e」 を 「MyNewProfile」 に追加します。
PowerCLI C:\> Add-EsxSoftwarePackage -ImageProfile “MyNewProfile” –SoftwarePackage “net-e1000e”
図 136: Add-EsxSoftwarePackage net-e1000e
使用可能なイメージ プロファイルを表示し、新しいイメージ プロファイル 「MyNewProfile」 が作成されていること を確認します。
図 137: Get-EsxImageProfile with MyNewProfile
イメージ プロファイル内の VIB のリストを表示して、特定された VIB のみが含まれていることを確認します。
図 138: Get-EsxImageProfile MyNewProfile VibList
既存のイメージ プロファイルのクローン作成によるイメージ プロファイルの新規作成
オフライン バンドルに含まれている ESXi-5.0.0-381646-standard Image のクローンを作成して、新しい ESXi イメージ 「MyClonedProfile」 を作成します。
PowerCLI C:\> New-EsxImageProfile –CloneProfile ESXi-5.0.0-381646-standard –Name
“MyClonedProfile”
図 139: New-EsxImageProfile -CloneProfile
使用可能なイメージ プロファイルのリストを表示して、新しいプロファイルが作成されたことを確認します。
PowerCLI C:\> Get-EsxImageProfile
図 140: Get-EsxImageProfile with MyClonedProfile
イメージ プロファイルからの VIB の削除
クローンを作成したイメージ プロファイル 「MyCloneProfile」 には、VMware Tools パッケージが含まれています。
VMware Tools パッケージを削除して、このイメージ プロファイルのサイズを小さくすることができます。
PowerCLI C:\> Remove-EsxSoftwarePackage –ImageProfile MyClonedProfile –SoftwarePackage tools-light
イメージ プロファイルの比較
このセクションでは、イメージ プロファイルを比較して、カスタム イメージ プロファイル間の違いを識別および追 跡する方法を示します。
前のセクションで、デフォルトのイメージ プロファイル 「MyCloneProfile」のクローンを作成しました。次に、
カスタム イメージから VMware Tools パッケージを削除しました。ここでは Compare-EsxImageProfile コマン ドレットを使用して、2 つのイメージを比較し、変更内容を確認します。
PowerCLI C:\> Compare-EsxImageProfile –ReferenceProfile Esxi-5.0.0-381646-no-tools –CompareProfile MyClonedProfile
図 142: Compare-EsxImageProfile
このスクリーンショットから、パッケージ VMware_locker_tools-light_5.0.0.0-0.0.381646 は参照プロ ファイル (-ReferenceProfile) 内に存在せず、比較プロファイル (-Comparison Profile) 内に存在することがわか ります。
イメージ プロファイルのエクスポート
次の手順では、イメージ プロファイルをオフライン バンドルとして、または起動可能な ISO イメージとしてエクス ポートする方法を示します。