ryomaro777
Enthusiast
Enthusiast

VMware vCenter Server Appliance 6.0でのファイアウォール設定

Jump to solution

ご覧になっていただきありがとうございます。

networking.firewall.addr.inbound.addについて教えてください。

例文がどこにも見当たらずどのような設定を入力するのかわかりません。

helpで確認すると以下のようになっていますが、

networking.firewall.addr.inbound.add [--help/-h] --policy ENUM --interface STR --address STR --pos INT --prefix INT

この中にサービス名を入力するところがなくわかりかねています。

VMware vCenter Server ApplianceがインストールされているLinuxのiptablesには今回必要なsnmpの許可が入っており、

この設定が必要なのか不要かがわかりません。

どうぞよろしくお願いします。

1 Solution

Accepted Solutions
gowatana
Leadership
Leadership

こんにちは。

networking.firewall.addr.inbound.〜 でのファイアウォール設定は、

現状の実装だとサービス(ポート番号やプロトコル)は指定できず、

IPアドレス単位での allow / deny となるようです。

また、同様のファイアウォール設定はGUIだと、vCenter Server Appliance(VCSA)の

アプライアンス管理インターフェース(WebブラウザでHTTPS 443ではなく5480にアクセス)

から実施できるので、そちらを利用したほうがわかりやすいかもしれません。

vami-fw.png

なお、実行されているコマンド利用しているAPIについては、

下記を確認すると設定可能な項目のあたりがつきます。

しかし VCSA 6.5 でも Tech Previewなので

このファイアウォール設定機能については、あまり積極的に本番利用しないようが無難かもしれません。

vCenter Server Appliance (Management) API - VMware API Explorer - VMware {code}

新規追加は下記。

POST /appliance/techpreview/networking/firewall/addr/inbound

変更は下記。

PUT /appliance/techpreview/networking/firewall/addr/inbound

肝心の SNMP の通信ですが、下記コマンドなどで SNMP を有効にしたときに

許可ルールが自動追加されるはずです。

Command> monitoring.snmp.enable

そのため、VCSAのLinuxでの通信許可がされているのであれば

ここでのファイアウォール設定は変更不要です。

以上です。ご参考まで。

View solution in original post

1 Reply
gowatana
Leadership
Leadership

こんにちは。

networking.firewall.addr.inbound.〜 でのファイアウォール設定は、

現状の実装だとサービス(ポート番号やプロトコル)は指定できず、

IPアドレス単位での allow / deny となるようです。

また、同様のファイアウォール設定はGUIだと、vCenter Server Appliance(VCSA)の

アプライアンス管理インターフェース(WebブラウザでHTTPS 443ではなく5480にアクセス)

から実施できるので、そちらを利用したほうがわかりやすいかもしれません。

vami-fw.png

なお、実行されているコマンド利用しているAPIについては、

下記を確認すると設定可能な項目のあたりがつきます。

しかし VCSA 6.5 でも Tech Previewなので

このファイアウォール設定機能については、あまり積極的に本番利用しないようが無難かもしれません。

vCenter Server Appliance (Management) API - VMware API Explorer - VMware {code}

新規追加は下記。

POST /appliance/techpreview/networking/firewall/addr/inbound

変更は下記。

PUT /appliance/techpreview/networking/firewall/addr/inbound

肝心の SNMP の通信ですが、下記コマンドなどで SNMP を有効にしたときに

許可ルールが自動追加されるはずです。

Command> monitoring.snmp.enable

そのため、VCSAのLinuxでの通信許可がされているのであれば

ここでのファイアウォール設定は変更不要です。

以上です。ご参考まで。

View solution in original post