Брандмауер ESX

До складу ESX входить брандмауер, заснований на мережевому екрані iptables Він захищає інтерфейси Service Console Це означає, що до віртуальних машин і до інтерфейсів VMkernel він відношення не має

Налаштовувати його можна з графічного інтерфейсу і з командного рядка

Для налаштування з графічного інтерфейсу пройдіть в Configuration Se-

curity Profile ⇒ кнопка Properties (Рис 43)

Тут ви побачите описані для брандмауера служби, які порти і направ-

лення їм відповідають Якщо ці настройки вас влаштовують, то дозволити роботу в зазначених напрямках за вказаними портів можна, просто розставляючи прапорці

Більш глибоку настройку брандмауера можна виконати з командного рядка Притому ці команди актуальні тільки для локальної командного рядка ESX, що не vSphere CLI Отже, для перегляду поточної інформації про настройках

Рис 43 Налаштування брандмауера Service Console з графічного інтерфейсу

брандмауера в локальній командному рядку або у сесії SSH виконайте команду

esxcfg-firewall –q

Варіанти цієї команди:

esxcfg-firewall –q &gt tempFile

У цьому випадку настройки брандмауера будуть записані у файл з імям tempFile, де їх зручно можна буде проаналізувати

esxcfg-firewall –q | less

Тоді висновок команди відбуватиметься на екран посторінково Натисканням «q» можна припинити перегляд

Виконання команди esxcfg-firewall без параметрів покаже сторінку допомоги Файл журналу для брандмауера – / var / log / vmware / esxcfg-firewalllog

У самому низу виведення команди esxcfg-firewall-q будуть показані служби, доступ до яких відкритий Список служб, визначення яких задані для брандмауера, можна побачити командою

esxcfg-firewall  –s

Редагувати цей список, додаючи служби або міняючи відповідні їм порти, можна у файлі etc / vmware / firewall / servicesxml Цей список дозволяє вам відкривати порти не за номерами, а по імені служби – Це може бути зручніше А які порти відповідають якому імені служби, в цьому файлі якраз і вказано

Крім того, для опису служб і відкритих портів можна створити власний файл xml з довільним імям в каталозі etc / vmware / firewall / Це може бути зручніше тим, що створений вручну файл не буде перезаписуватися при установці оновлень на ESX

Перше, про що варто сказати, починаючи розмову про роздачу прав, – це про те, куди ми звертаємося Варіантів два – на ESX (i) або vCenter Розберемо перший варіант

Найперше, що хочу сказати, – працювати з ESX (i) безпосередньо (в командному рядку або клієнтом) доведеться мало

Клієнтом безпосередньо слід підключатися тільки в тому випадку, якщо недоступний vCenter, – це наполеглива рекомендація VMware, та й просто це логічно і зручно

З командного рядка – в основному в разі виникнення якихось проблем, що не вирішуються іншими шляхами Таких проблем, ризикну припустити, у вас навряд чи буде багато Або для специфічних налаштувань, які виконуються разово Притому для більшості маніпуляцій з командного рядка VMware рекомендує застосовувати vSphere CLI / Power CLI, ніж локальну командний рядок А ці кошти дозволяють авторизуватися на vCenter, а потім працювати з сервером під його управлінням без додаткової авторизації

Отже, ви запускаєте vSphere Client, вводите IP-адресу або імя сервера ESX (i) Вам необхідно ввести імя користувача та пароль Або ви запустили клієнт SSH типу PuTTY, і вам також необхідно авторизуватися Без додаткових рухів тіла авторізовиваться ви будете користувачем Service Console (або скороченого Linux у разі ESXi)

Однак, починаючи з версії 41, в сервері ESX (i) дуже легко налаштувати авторизацію обліковими записами Active Directory

Для реалізації цієї можливості необхідно пройти в налаштування сервера – вкладка Configuration Authentication Services

У випадаючому меню вибрати метод аутентифікації Active Directory, Потім вказати домен Якщо ви хочете розмістити записи серверів ESX (i) не в кореневому контейнері AD, то домен вкажіть не у вигляді, наприклад, «vm4ru», а у вигляді, наприклад, «vm4ru/vsphere/esxi» Тоді облікові записи серверів будуть створені в контейнері vsphere / esxi

Тепер, підключившись безпосередньо до сервера ESX (i), перейдіть на вкладку Permissions Там ви побачите, що доменної групі «ESX Admins» видані всі права на цей сервер – такі налаштування за замовчуванням

Якщо варіант за замовчуванням вас не влаштовує, то в контекстному меню сервера виберіть пункт Add Permissions – І у вас буде можливість видати довільні привілеї безпідставного доменному користувачеві або групі

Зверніть увагу на те, що дану настройку можна тиражувати між серверами за допомогою механізму Host Profiles

Використовувати доменного користувача з таким чином призначеними привілеями можна при зверненні на цей сервер ESX (i) за допомогою клієнта vSphere або по SSH

Джерело: Міхєєв М О Адміністрування VMware vSphere 41 – М: ДМК Пресс, 2011 – 448 с: Ил

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*