お世話になります。
ESXi5.5ホストのファイアウォールを無効にしたまま、ホストを起動する方法を教えてください。
起動後であれば、SSHでホストに接続後、下記コマンドを実行しファイアウォールを無効化できることは分かりました。
(実行コマンド)
esxcli network firewall set --enabled false
esxcli network firewall unload
しかしながら、上記コマンドでファイアウォールを無効化しても、ESXiホストを再起動すると、再度ファイアウォールが
有効となった状態でホストが起動します。
これを常時ESXiホストのファイアウォールが無効化された状態で起動できるように変更したいのですが、
可能か否かも含めて分らないので、それも含め分る方がいれば教えてください。
よろしくお願い致します。
こんばんは。
下記のように試したところ、ESXiのファイアウォールは
ESXiの再起動後も無効になっていそうです。
~ # vmware -vl
VMware ESXi 5.5.0 build-1623387
VMware ESXi 5.5.0 Update 1
~ # esxcli network firewall get
Default Action: DROP
Enabled: true ★はじめは有効
Loaded: true
~ # esxcli network firewall set --enabled=false
~ # esxcli network firewall unload
~ # esxcli network firewall get
Default Action: PASS
Enabled: false
Loaded: false
★ここでESXiを再起動
ちなみに、DCUI から F12キー → F11キー
で再起動しました。
★確認
~ # esxcli network firewall get
Default Action: DROP
Enabled: false ★無効のまま
Loaded: true
実際に、ファイアウォールは無効になっている様子です。
以上です。いかがでしょうか。
こんばんは。
下記のように試したところ、ESXiのファイアウォールは
ESXiの再起動後も無効になっていそうです。
~ # vmware -vl
VMware ESXi 5.5.0 build-1623387
VMware ESXi 5.5.0 Update 1
~ # esxcli network firewall get
Default Action: DROP
Enabled: true ★はじめは有効
Loaded: true
~ # esxcli network firewall set --enabled=false
~ # esxcli network firewall unload
~ # esxcli network firewall get
Default Action: PASS
Enabled: false
Loaded: false
★ここでESXiを再起動
ちなみに、DCUI から F12キー → F11キー
で再起動しました。
★確認
~ # esxcli network firewall get
Default Action: DROP
Enabled: false ★無効のまま
Loaded: true
実際に、ファイアウォールは無効になっている様子です。
以上です。いかがでしょうか。
こんにちは。
もしかして、ハイパバイザーのインストール先はローカルディスクではなくSDやUSBメモリだったりしませんか?
ローカルのストレージの場合はgowatanaさんの書いていらっしゃる手順で大丈夫だと思います。
SDやUSBメモリ(フラッシュストレージ)の場合、設定変更は基本的にクラッチパーティションに書かれるので再起動後に設定が消えるような動作をします。
ファイアウォールを無効にしたい運用背景がわからないのですが(セキュリティホールでしかありませんし。。。)もしかしたら、このスクラッチパーティションに書かれる「変更できない設定」なのでは無いかなと思います。
早々に返信いただきありがとうございます。
ただ今すぐ確認できないので、月曜日にこちらでの動作を確認したいと思います。
ハイパーバイザーのインストール先は、ローカルHDDとなります。
また、ファイアウォールを無効化したい理由は、仮想ゲスト上で稼働するアプリに影響を与えている可能性があるため、
その切り分けとして設定したいという意図になります。
一つ忘れていたのですが、現在使用しているESXi5.5は無償ライセンスなのですが、
それが影響してファイアウォールが無効化できないといったことはありますでしょうか。
こんばんは。
ためしに、無償版ライセンスを適用した ESXi 5.5 でも設定してみましたが、
同様にESXi ファイアウォールを無効にできました。
ちなみに、ここで無効化している ESXi Firewall は、
ESXi自身だけ(VMkernel ポートだけ)に作用します。
そのため、もしVM(ゲストOS)がうまく通信できないのであれば、
ESXiのファイアウォールよりも、
のあたりを確認してみると良いと思いました。
以上です。ご参考まで・・・
こんにちは
gowatana さんも書いていらっしゃるように、ESXiホストのFirewallはゲストマシンの通信には全く関係ありません。
仮想スイッチのManagement Network (VMKernel Port の一種)ではあるのですが...
仮想マシンと外のネットワークが同じIPアドレス体系なのにうまく通信できないということであれば、仮想スイッチのポートグループの設定の「無差別モード(promiscuous mode)」あたりが怪しいと思います。
仮想マシンの通信が、どういうステータスなのかわかりませんが、無事通信できるとよいですね。
返信遅くなりまして申し訳ありません。
こちらの環境でも、ファイアウォールが無効化された状態で起動することを確認できました。
ただ一つ気になるのは、vSphere Clientにおいて、「構成」→「セキュリティプロファイル」を開くと、ファイアウォールの処に現在の設定内容が表示される点です。
これは、ファイアウォール自体は無効化できていても、設定自体は読み込まれている(esxcli network firewall getの実行結果にLoaded: trueと表示されているため)せいであると思います。
上記も含めて、起動時に無効できればベストなのですが、そこまではさすがに無理でしょうか。
結局、仮想ゲストのアプリの動作はSQL Serverの設定にあったようで、ESX Firewallは無実でした。
当たり前といえば当たり前の話ですね。
返信ありがとうございます。
デフォルトでは、無差別モード=拒否だと思います。
この設定の場合、仮想ゲストの通信にどんな影響を与える可能性があるのでしょうか。
障害切り分けの観点からすると、ここを「承諾」に変更して、動作が改善されるか確認するといったところでしょうか。