Брандмауэр ESX

В состав ESX входит брандмауэр, основанный на сетевом экране iptables. Он защищает интерфейсы Service Console. Это означает, что к виртуальным машинам и к интерфейсам VMkernel  он отношения  не имеет.

Настраивать его можно из графического  интерфейса и из командной строки.

Для настройки из графического  интерфейса пройдите  в Configuration ? Se-

curity Profile ? кнопка Properties (рис. 4.3).

Здесь вы увидите описанные  для брандмауэра  службы, какие порты и направ-

ления им соответствуют. Если эти настройки вас устраивают, то разрешить работу в указанных направлениях по указанным портам можно, просто расставляя флажки.

Более   глубокую  настройку   брандмауэра   можно  выполнить из  командной  строки. Притом  эти команды  актуальны  только для локальной командной  строки ESX, не vSphere CLI. Итак, для просмотра текущей информации о настройках

Рис. 4.3. Настройки брандмауэра Service Console из графического интерфейса

брандмауэра в локальной командной строке или в сессии SSH выполните команду

esxcfg-firewall –q.

Варианты этой команды:

esxcfg-firewall –q > tempFile

В этом случае настройки брандмауэра  будут записаны в файл с именем tempFile, где их удобно можно будет проанализировать.

esxcfg-firewall –q | less

Тогда вывод команды будет происходить на экран постранично. Нажатием «q» можно прекратить  просмотр.

Выполнение команды  esxcfg-firewall без параметров  покажет  страницу помощи. Файл  журнала для брандмауэра  – /var/log/vmware/esxcfg-firewall.log.

В самом низу вывода команды esxcfg-firewall –q будут показаны службы, доступ к которым открыт. Список служб, определения которых заданы для брандмауэра, можно увидеть командой

esxcfg-firewall  –s

Редактировать этот список, добавляя службы или меняя соответствующие им порты,  можно  в файле  etc/vmware/firewall/services.xml. Этот  список  позволяет  вам открывать порты не по номерам, а по имени службы – это может быть удобнее. А какие порты соответствуют  какому имени службы, в этом файле как раз и указано.

Кроме того, для описания  служб и открытых  портов можно создать собственный файл xml с произвольным именем в каталоге etc/vmware/firewall/. Это может быть удобнее тем, что созданный вручную файл  не будет перезаписываться при установке обновлений на ESX.

4.2.1. Аутентификация на серверах ESX(i), в том числе через Active Directory

Первое, о чем стоит сказать, начиная  разговор  про раздачу прав, – это о том, куда мы обращаемся.  Вариантов  два – на ESX(i) или vCenter. Разберем  первый вариант.

Самое первое, что хочу сказать, – работать с ESX(i) напрямую  (в командной  строке или клиентом) придется  мало.

Клиентом напрямую следует подключаться только в том случае, если недоступен vCenter,  – это настоятельная рекомендация VMware, да и просто это логично и удобно.

Из командной строки – в основном в случае возникновения каких-то проблем, не решаемых другими  путями.  Таких проблем, рискну предположить, у вас вряд ли будет много. Или для специфических настроек, которые выполняются разово. Притом  для большинства манипуляций из командной  строки VMware  рекомендует применять vSphere  CLI/Power CLI, нежели  локальную  командную  строку. А эти средства позволяют  авторизоваться на vCenter,  а затем работать с сервером под его управлением без дополнительной авторизации.

Итак, вы запускаете vSphere Client, вводите IP-адрес  или имя сервера ESX(i). Вам необходимо  ввести  имя  пользователя и пароль.  Или  вы  запустили клиент SSH типа PuTTY,  и вам также необходимо авторизоваться. Без дополнительных телодвижений авторизовываться вы будете пользователем Service  Console  (или  сокращенного Linux в случае ESXi).

Однако, начиная с версии 4.1, в сервере ESX(i) очень легко настроить авторизацию учетными записями Active Directory.

Для реализации этой возможности необходимо пройти в настройки сервера – вкладка Configuration ? Authentication Services.

В выпадающем меню выбрать метод аутентификации Active Directory, затем указать домен. Если вы хотите разместить  записи серверов ESX(i) не в корневом  контейнере  AD, то домен укажите не в виде, например, «vm4.ru», а в виде, например, «vm4.ru/vsphere/esxi». Тогда учетные записи серверов будут созданы в контейнере vsphere/esxi.

Теперь,  подключившись напрямую  к серверу  ESX(i), перейдите  на  вкладку Permissions. Там вы увидите, что доменной группе «ESX Admins» выданы все права на данный сервер – таковы настройки по умолчанию.

Если вариант по умолчанию вас не устраивает, то в контекстном меню сервера выберите пункт Add Permissions – и у вас будет возможность выдать произвольные привилегии произвольному доменному пользователю или группе.

Обратите  внимание на то, что данную настройку  можно тиражировать между серверами при помощи механизма Host Profiles.

Использовать доменного  пользователя с таким  образом  назначенными привилегиями можно  при  обращении  на этот  сервер  ESX(i) при  помощи  клиента  vSphere или по SSH.

Источник: Михеев М. О.  Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий