esxi 32ビットマスクでfirewallの設定を行った時の不具合

2015/12/25 VMWare

vmware-problem-firewall
現在、名古屋(愛知県)で行っている VMWare esxiの構築が佳境を迎えています。バージョンは5.1。最新は5.5になりますが、エンドユーザー様の要望から5.1を利用しての構築です。サーバ仮想化はトレンドだけあって、esxi構築についてのご相談を少しずつですが、頂いています。
しっかりと設計を行って構築、運用を行うと、これほど便利なものもありません。VDIなどデスクトップ仮想化はコスト面や導入規模を考えるとハードルが高いところですが、サーバー側の仮想化なら、構成次第で安価なスモールスタートが可能です。

スポンサーリンク

仮想化に興味はあるが、見積もり依頼を行ったら、法外な見積もりが出てきたという経験がある方、是非、弊社までお気軽にお問合せ下さい。
そんなVMwareですが、意外なところで問題が発生したので、今回なそのお話と対策について記載したいと思います。

1.esxiにアクセス制限を設定する

急な要件追加でesxi本体のhttpsにアクセス制限を設定する必要が出てきました。
esxi側でhttpsを利用するサービスはvsphere clientとesxi本体のWeb Accessです。
デフォルトのfirewall設定ではhttpsはどこからでも利用できるようになっていますが、この部分について、特定のIPからのみに制限を掛けたいというお話でした。
esxiのFirewallはGUIから容易に設定変更が可能ですが、これを甘く見て意外なところで嵌ってしまう結果に。

2.GUIからのIPアドレス登録

vCenter ServerへvSphere Web Clientで接続して、該当するesxiのfirewallを設定しました。
デフォルトでは「任意のIPアドレスから接続を許可する」にチェックが入っているため、このチェックを外し、追加するIPアドレス、もしくはIPアドレス/サブネットマスクという形で設定欄に入力を行います。
今回は 192.168.123.10/32を追加する前提で話を薦めます。
許可するIPを記載する欄に192.168.123.10/32と入力して、[OK]をクリック。
これで通常だと設定が完了となるのですが、様子が変です。
追加したIPが反映されません。
IPを再度、追加/削除しようとすると

とのエラーが出力され、削除操作が完了できません。
GUIからだと問題の判断がしにくいのでsshで接続してesxcliコマンドからfirewallの確認をしてみます。

結果は同じです。
許可IPを確認するコマンドを利用してもエントリが削除されていません。

Firewallに関係する操作の殆どを行うことが出来なくなったため、異常が発生したと判断し、トラブルシュートを行いました。

3. 32ビットマスクでのfirewall登録がNG

ログや設定を確認して、大凡の原因が理解できました。
恐らく/32ビットマスクをつけてIPアドレスを登録してしまうと、Firewallエントリの操作が出来なくなるようです。
このエントリは/etc/vmware/esx.confに追加されています。
例えば/32を付けたIPアドレスを登録すると、esx.confに以下のように記載されます。

このエントリを削除出来なくなることが問題だと判断できます。
この状態になると、対応が難しくなりますが、次の章で紹介する手順で対応できます。

4.esx.confからエントリを手動で削除する

/32を付与して登録したIPはGUIからでは削除できないので、以下の手順で削除します。

4-1.esxiでSSHサービスの有効化

esxiのGUIからSSHサービスを有効化します。
※esxiのSSHサービスを有効化する手順は「esxi で仮想マシンの保存先フォルダ名を変更する」を参照下さい。

4-2.該当するエントリを手動で削除

sshクライアントでesxiへ接続し、viでesx.confを開きます。

esx.confを開いたら/32が記載されている部分を検索します。
通常、以下のように記載されています。

この行を削除して、esx.confを保存します。

4-3.firewall moduleの再ロード

設定を反映させるためにESXiでfirewall moduleを再ロードします。
再ロードは以下のコマンドで行います。

再ロード後、削除できなかったIPアドレスが消えているかを確認します。
エントリがvsphere clientに設定されている場合、以下のコマンドで確認できます。

上記のようにエントリが削除されていれば、対応は完了です。
/32を付与するのは、通常のfirewallを利用している場合、指定してしまうことが多いのですが、esxiのfirewallでは付与しないことを気を付けて頂ければ、今回の問題に合致することはありません。
意外なところで嵌る、そんなVMwareでした。

システムでお困りのお客様

もし、貴社で、

  • サポート切れのサーバやネットワーク機器の入れ替えをしたいが、どうしたらよいかわからない
  • サーバやネットワークの管理を行う社員がいないため困っている
  • 業務に利用している機器のセキュリティが大丈夫か心配
  • 機器の障害で、業務への影響が発生している
  • 社内の要望に対して、どのようなシステムを導入したらよいか解らない

など、サーバーやネットワーク、セキュリティでお悩みの方、新規のシステム導入を検討中の方。
多くのシステム構築を行い、成功させてきた実績をもつ弊社が、その問題を解決します。
お気軽にお問い合わせ頂き、貴社の問題解決にお役立てください。

お問い合わせ・ご相談はこちらから

Facebookでのご購読が便利です。

Twitter・Feedlyでもご購読できます。

Twitterでフォローする Feedlyでフォローする

関連する情報

vm-service-p2v

esxi に update2パッチを適用する方法

VMWareの仮想化基盤ソフトウェアである esxiを導入・運用している企業様は多いと思います。

vmware-fw-setting

esxiで仮想マシンの保存先フォルダ名を変更する手順

このところ、VMWare構築案件のご相談をよく頂きます。(主にサーバ仮想化) 現在ではサーバ仮

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • スポンサーリンク