この項では、インストール前に適用する必要があるセキュリティ構成について説明します。
Oracle VM管理サーバーでは、次のいずれかのオペレーティング・システムを実行する必要があります。
Oracle Linux 5 Update 5 64ビット以上
Oracle Linux 6 64ビット以上
デフォルトのOracle Linuxのインストールでは、ファイアウォールが有効(iptablesが有効
)になっています。Oracle VM Managerに必要なポート以外のすべてのポートを閉じておくことをお薦めします。必要なポートは次のとおりです。
インバウンドWebブラウザ接続の場合: TCP/7002 (HTTPS、優先)、TCP/7001 (HTTP)
仮想マシン・コンソールへのアクセスの場合: TCP/15901 (セキュアなVNCプロキシ)
Oracle VM Serverからのインバウンド接続の場合: TCP/7002 (HTTPS、デフォルト)、TCP/7001 (HTTP)、UDP/123 (NTP)
オプションのリモートAPIアクセスの場合: TCP/54322 (SSL上のセキュアなTCP、推奨)、TCP/54321 (標準)
Oracle VM Serverへのアウトバウンド接続の場合: TCP/8899 (Oracle VM Agent)、TCP/5900-xxxx (VNC、VMにつき1つのセキュア・トンネル)
クラスタ化されたサーバー・プールのサーバー間通信の場合: TCP/7777 (ストレージ・ネットワーク上のデフォルトOCFS2ポート)
SSHアクセスの場合: TCP/22 (デフォルトでオープン)
SSHを使用したCLIアクセスの場合: TCP/10000
Oracle VMコマンドライン・インタフェース(CLI)は、Oracle VMバージョン3.2.1の一部です。
インストール手順の一部として、スクリプトがcreateOracle.sh
という名前で含まれています。このスクリプトを実行すると、標準のファイアフォール構成を含むインストール・タスクの一部を自動化して実行できます。ファイアフォールを手動で構成する必要がある場合、次の手順に従います。
次のようにiptables
で必要なポートを開きます。
root
ユーザーとして、Oracle VM管理サーバーへログオンします。
コマンド・プロンプトで、次のように、オープンする各ポートに適切なコマンドを入力します。
# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7001 -j ACCEPT # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7002 -j ACCEPT # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 15901 -j ACCEPT # iptables -A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 54321 -j ACCEPT # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 54322 -j ACCEPT
iptables
構成を保存します。
# service iptables save
これは、コマンドによってiptables
の実行中にポートがオープンするため、iptables
を再起動する必要はありません。保存することで、今後の再起動時にオープンするようになります。
次の図は、Oracle VMのファイアフォール・ルールおよび要件を示しています。
Oracle VM環境のすべての物理サーバーは、管理ネットワークに接続されています。Oracle VM ManagerおよびOracle VM Serverは、各サーバー上で実行しているOracle VM Agentを介して、管理ネットワーク上で通信します。
厳密には、すべての物理サーバーは外部からアクセスできる必要がないため、管理ネットワークでは、プライベート・サブネットを使用することをお薦めします。このプライベート・サブネットは、企業ネットワークまたはその一部内からアクセス可能です。管理ネットワークがプライベート・サブネットでない場合またはさらにセキュリティを強化する必要がある場合は、Oracle VM ServerのIPアドレスのみにアクセスを制限できます。目的は、物理Oracle VM環境へアクセスする必要のないユーザーおよびマシンに公開されないように管理ネットワークを保護することです。
企業ネットワークのファイアフォール構成に加えて、VLANを使用することで、さらに管理ネットワークを未認可アクセスから保護できます。企業ネットワーク外から管理ネットワークへアクセスする必要がある場合、VPNトンネルを介して有効化することを検討します。
企業ネットワークのファイアフォール構成では、Oracle VM管理サーバーのiptables
についての前述の説明と同じポート要件を考慮する必要があります。
サーバー・ハードウェアおよびネットワーク・リソースによっては、ネットワーク・ロール(管理、記憶域、移行、仮想マシン、ハートビート)によってネットワーク・トラフィックを分離する場合があります。ネットワーク・モデルおよびそのセキュリティの意味の詳細は、第3.1項「Oracle VMのネットワーク・モデル」を参照してください。