します。
pif-reconfigure-ip uuid=<pif_uuid> mode=static DNS=<new_dns_ip>
4.4.10.3. スタンドアロンホストでIPアドレス設定を変更する
ネットワークインターフェイスの設定は、xe CLIを使⽤して変更できます。ネットワーク設定スクリ プトを直接編集することは避けてください。
PIFのIPアドレス設定を変更するには、pif-reconfigure-ipコマンドを使⽤します。pif-reconfigure-ip
コマンドで使⽤可能なオプションについて詳しくは、項A.4.14.5.「pif-reconfigure-ip」を参照してください。
注︓
リソースプール内のホストのIPアドレスを変更する⽅法について詳しくは、項
4.4.10.4. 「リソースプールでIPアドレス設定を変更する」を参照してください。
4.4.10.4. リソースプールでIPアドレス設定を変更する
リソースプール内のXenServerホストには、管理やプール内のほかのホストとの通信に使⽤する単⼀
の管理IPアドレスがあります。管理インターフェイスのIPアドレスの変更⼿順は、プールマスタとそ れ以外のホストで異なります。
注︓
ホストのIPアドレスやほかのネットワークパラメータを変更するときは、注意が必 要です。環境のネットワークトポロジや変更内容によっては、ネットワークスト レージへの接続が切断される場合があります。この問題が発⽣した場合
は、XenCenterの[ストレージ]>[修復]コマンドや、CLIのpbd-plugコマン ドを使⽤してストレージを再プラグする必要があります。この理由から、仮想マシ ンをほかのホストに移⾏してから、IPアドレス設定を変更することをお勧めしま す。
メンバホスト(⾮プールマスタ)でIPアドレス設定を変更する
1.
次のpif-reconfigure-ipコマンドを実⾏して、IPアドレスを設定します。pif-reconfigure-ipコマンドで使⽤可能なオプションについて詳しくは、付録 A. 「コマンドラインインターフェ
イス」を参照してください。xe pif-reconfigure-ip uuid=<pif_uuid> mode=DHCP
2. 次のhost-listコマンドを実⾏して、プール内のほかのすべてのXenServerホストが認識される ことを確認します(メンバホストがプールマスタに正しく再接続されたことを⽰します)。
xe host-list
プールマスタとして動作するXenServerホストのIPアドレスを変更する場合は、追加の⼿順が必要で す。これは、各メンバホストがプールマスタと通信するときに、変更前の古いIPアドレスが使⽤され るためです。
可能な場合は、リソースプールの運⽤中に変更される可能性が低いIPアドレスをプールマスタに割り 当ててください。
プールマスタでIPアドレス設定を変更する
1.
次のpif-reconfigure-ipコマンドを実⾏して、IPアドレスを設定します。pif-reconfigure-ipコマンドで使⽤可能なオプションについて詳しくは、付録 A. 「コマンドラインインターフェ
イス」を参照してください。xe pif-reconfigure-ip uuid=<pif_uuid> mode=DHCP
2. プールマスタのIPアドレスが変更され、メンバホストが接続できなくなると、すべてのメンバホ ストが緊急モードに切り替わります。
3. マスタXenServerホスト上で、次のpool-recover-slavesコマンドを実⾏します。これによ り、プールマスタが各メンバホストと通信し、プールマスタの新しいIPアドレスが通知されま す。
xe pool-recover-slaves
4.4.10.5. 管理インターフェイス
複数のNICが装着されたコンピュータにXenServerをインストールすると、管理インターフェイスと して使⽤されるNICが1つ選択されます。管理インターフェイスは、XenCenterとそのホスト間の通 信、およびホストどうしの通信で使⽤されます。
管理インターフェイスのNICを変更するには
1. 次のpif-listコマンドを実⾏して、管理インターフェイスとして使⽤するNICのPIFを確認しま す。このコマンドにより、各PIFのUUIDが返されます。
xe pif-list
2. 次のpif-param-listコマンドを実⾏して、管理インターフェイスとして使⽤するPIFのIPアドレ ス設定を確認します。必要な場合は、pif-reconfigure-ipコマンドを使⽤して、そのPIFのIPア ドレス設定を変更します。pif-reconfigure-ipコマンドで使⽤可能なオプションについて詳し くは、付録 A. 「コマンドラインインターフェイス」を参照してください。
xe pif-param-list uuid=<pif_uuid>
3. 次のhost-management-reconfigureコマンドを実⾏して、管理インターフェイスとして使
⽤するPIFを変更します。このホストがリソースプールに属している場合は、プールマスタ上の コンソールでこのコマンドを実⾏する必要があります。
xe host-management-reconfigure pif-uuid=<pif_uuid>
プールの管理インターフェイスを変更するには
1. 次のnetwork-listコマンドを実⾏して、プールのすべてのホストで管理インターフェイスとし て使⽤されるNICのPIFを確認します。このコマンドには、プール全体のネットワークUUIDが返 されます。
xe network-list
2.
network-param-listコマンドを使⽤して、リソースプールのすべてのホストのPIF UUIDを取
得します。次のpif-param-listコマンドを実⾏して、管理インターフェイスとして使⽤するPIF のIPアドレス設定を確認します。必要な場合は、pif-reconfigure-ipコマンドを使⽤して、そのPIFのIPアドレス設定を変更します。pif-reconfigure-ipコマンドで使⽤可能なオプションに ついて詳しくは、付録 A. 「コマンドラインインターフェイス」を参照してください。
xe pif-param-list uuid=<pif_uuid>
3. 次のpool-management-reconfigureコマンドを実⾏して、ネットワーク⼀覧で管理イン ターフェイスとして使⽤されるPIFを変更します。
xe pool-management-reconfigure network-uuid=<network_uuid>
4.4.10.6. 管理アクセスを無効にする
管理コンソールへのリモートアクセスを完全に無効にするには、host-management-disableコマ ンドを使⽤します。
警告︓
管理インターフェイスを無効にした場合、物理ホストコンソールにログインして管 理タスクを⾏う必要があります。XenCenterなどの外部インターフェイスは機能し なくなります。
4.4.10.7. 物理NICを新規に追加する
XenServerホストへの物理NICのインストールは、通常の⼿順で⾏います。その後、ホストを起動し たら、pif-scanコマンドを実⾏して、新しいNIC⽤のPIFオブジェクトを作成します。
4.4.10.8. ネットワークに⽬的を追加する
ネットワーク⽬的は、ネットワークにさらに機能を追加するために使⽤できます。例えば、ネット ワークを使⽤してNBD接続を確⽴する機能です。
ネットワーク⽬的を追加するには、xe network-param-addコマンドを使⽤します。
xe network-param-add param-name=purpose param-key=<purpose> uuid=<network-uuid>
ネットワーク⽬的を削除するには、xe network-param-removeコマンドを使⽤します。
xe network-param-remove param-name=purpose param-key=<purpose> uuid=<network-uuid>
現在、ネットワーク⽬的で使⽤可能な値は
nbd
とinsecure_nbd
です。詳しくは、「XenServerの変更ブロック追跡」を参照してください。
4.4.10.9. スイッチポートロックの使⽤
XenServerのスイッチポートロック機能を使⽤すると、仮想マシンがMACアドレスやIPアドレスを 偽装できくなり、不明な仮想マシンからの悪意のあるトラフィックを制御できるようになります。こ の機能のポートロックコマンドでは、特定のネットワーク上のトラフィックをすべてブロック(デ フォルト)したり、特定のIPアドレスからのトラフィック以外をブロックしたりできます。
クラウドサービスプロバイダでスイッチポートロック機能を使⽤すると、内部脅威に対するセキュリ ティを強化できます。仮想マシンがインターネットのパブリックなIPアドレスを使⽤するクラウド環 境では、なりすましなどに対するセキュリティ対策を施して、クラウドのテナントがほかの仮想マシ ンを攻撃することを防ぐ必要があります。
スイッチポートロック機能を使⽤すると、すべてのテナントや仮想マシンで同じレイヤ2ネットワー クを使⽤して、ネットワーク設定をシンプルにできます。
ポートロックコマンドの機能の1つに、信頼できない仮想マシンからのトラフィックを制限して、そ の仮想マシンがMACアドレスやIPアドレスを偽装することを不可能にするものがあります。これに より、以下の⾏為を制限できます。
• XenServerの管理者が許可していないMACアドレスやIPアドレスを偽装する。
• ほかの仮想マシンのトラフィックを傍受、なりすまし、または妨害する。
4.4.10.9.1. 要件
• XenServerのスイッチポートロック機能は、LinuxブリッジおよびvSwitchネットワークスタック でサポートされます。
• 役割ベースのアクセス制御(RBAC)を使⽤する環境でこの機能を設定するには、プールオペレー タまたはプール管理者以上の権限を持つアカウントでログインする必要があります。RBACを使⽤
しない環境では、プールマスタのルートアカウントでログインする必要があります。
• ポートロックコマンドは、オンラインおよびオフラインのネットワークに対して実⾏できます。
• Windows仮想マシンで切断されたネットワークアイコンを表⽰するには、XenServer Toolsをイン ストールする必要があります。
4.4.10.9.2. 注
スイッチポートロック構成がない場合は、VIFは「network_default」に設定され、ネットワークは
「unlocked」に設定されます。
vSwitchコントローラやそのほかのサードパーティコントローラを使⽤する環境でスイッチポート ロックを設定することはサポートされません。
スイッチポートロックを設定しても、以下の⾏為は制限されません。
• ほかのテナントやユーザーに対してIPレベルの攻撃をする。ただし、そのクラウド内のほかのテナ ントやユーザーになりすましたり、ほかのユーザーのトラフィックを傍受したりするIPレベル攻撃 は、スイッチポートロックで防御できます。
• ネットワークリソースを過度に消費する。
• 通常のスイッチフラッディングの⼿段(ブロードキャストMACアドレスまたは不明な送信先MAC アドレスを使⽤するなど)を使⽤して、ほかの仮想マシン宛てのトラフィックを受信する。
同様に、スイッチポートロックを設定しても、仮想マシンからのトラフィックの送信先は制限されま せん。
4.4.10.9.3. 実装における注意事項
スイッチポートロック機能は、コマンドラインまたはXenServer APIを使って実装できます。特に、
⼤規模な環境では、APIを使って⾃動化することが⼀般的です。
4.4.10.9.4. 例
ここでは、スイッチポートロック機能を使⽤してさまざまな攻撃から環境を保護する⽅法について、
例を挙げて説明します。これらの例で、「VM-c」は悪意のあるテナント(Tenant C)が使⽤してい る仮想マシンを表します。「VM-a」および「VM-b」は、通常のテナントが使⽤している仮想マシン を表します。