5.3.3 仮想環境における通信の設定
- 〈この項の構成〉
(1) ハイパーバイザー上にホストされた仮想マシンを監視するための前提条件
NNMiでは次の操作がサポートされます。
-
サポート対象ハイパーバイザーの検出と監視。
ハイパーバイザーのノードフォームでは,各仮想マシンは[ホスト対象ノード]タブに表示されます。
-
各仮想マシン(ルーター,スイッチ,ノードなど)の検出と監視。
仮想マシンのノードフォームでは,[ホスト元ノード]属性にハイパーバイザーの名前が表示されます。
次の表に,ハイパーバイザーでホストされているハイパーバイザーと仮想マシンを検出するための前提条件を示します。
検出対象 |
前提条件 |
詳細情報 |
---|---|---|
ハイパーバイザー |
ハイパーバイザーはSNMP通信をサポートする必要があり, SNMPを使用して NNMiからアクセスできる必要があります。 |
該当しない |
NNMi は関連するSNMPエージェントと通信するように設定する必要があります(IPアドレスとコミュニティ文字列またはSNMPv3認証)。 |
NNMiユーザーインタフェースを使用して設定するには,「管理者用のヘルプ」の「通信プロトコルを設定する」に記載されているデフォルト,領域,または特定ノードについてのSNMPの設定方法を参照してください。 コマンドラインインタフェース(CLI)を使用して設定するには,nnmcommunication.ovplのリファレンスページを参照してください。 |
|
NNMi は,HTTPSを使用してハイパーバイザーと通信するように設定する必要があります。 注:(VMwareだけ)VMwareのデフォルト証明書(localhost.localdomain)を,ESXiサーバーのホスト名を使用して生成された証明書と置き換える必要があります。詳細については,VMwareのドキュメントを参照してください。ESX5.1およびESX5.5サーバーで実行する手順の例については,「(2) VMwareデフォルト証明書の置換」を参照してください。 |
CLIを使用して設定するには,「(3) ハイパーバイザーとの通信にHTTPSを使用するようにNNMiを設定する」を参照してください。 NNMiユーザーインタフェースを使用して設定するには,「管理者用のヘルプ」の「通信プロトコルを設定する」に記載されているデフォルト,領域,または特定ノードについての信頼された証明書の設定方法を参照してください。 |
|
ハイパーバイザー上の仮想マシン |
ハイパーバイザーのWebサービスで認証を行うには,ハイパーバイザーについて記載されたSNMP要件の他にハイパーバイザーデバイスの資格証明もNNMiに設定する必要があります。 |
NNMiユーザーインタフェースを使用して設定するには,「管理者用のヘルプ」の「通信プロトコルを設定する」に記載されているデフォルト,領域,または特定ノードについての資格証明の設定方法を参照してください。 CLIを使用して設定するには, nnmcommunication.ovplのリファレンスページを参照してください。 |
(2) VMwareデフォルト証明書の置換
- 重要
-
自己署名またはCA署名証明書は,完全修飾ドメイン名をESXiサーバーのホスト名として使用して生成する必要があります。
デフォルトでは,VMware証明書はlocalhost.localdomainをESXiサーバーのホスト名として使用します。
VMwareのデフォルト証明書を,ESXiサーバーのホスト名を使用して生成された証明書と置き換えるには,ESXiサーバーでこれらの手順例を実行します。
- メモ
-
この例では,ESX5.1およびEXS5.5サーバーで実行する手順について説明します。最新情報については,VMwareのデフォルト証明書の置き換え方法を説明しているVMwareドキュメントを参照してください。
-
/etc/hostsファイルに,ホストを解決するための次のフォーマットがあることを確認します。
#/etc/hosts 127.0.0.1 localhost.localdomain localhost ::1 localhost.localdomain localhost 16.78.xx.xxx hostname.usa.hp.com hostname
-
ESXi サーバーでSSH が有効になっていることを確認します。
-
管理者権限のあるユーザーとしてESXiシェルにログインします。
-
次のディレクトリに移動します。
/etc/vmware/ssl
-
次のコマンドを使用し,名前を変更して既存の証明書をすべてバックアップします。
mv rui.crt orig.rui.crt mv rui.key orig.rui.key
-
新しい証明書を生成するには,次のコマンドを実行します。
/sbin/generate-certificates
-
ホストを再起動します。
-
次の手順によってホストで新しい証明書が正常に生成されたことを確認します。
-
次のコマンドを使用して証明書を表示します。
ls -la
-
元のファイルが使用できる場合は,新しい証明書ファイルのタイムスタンプをorig.rui.crtおよびorig.rui.keyと比較します。
-
(3) ハイパーバイザーとの通信にHTTPSを使用するようにNNMiを設定する
このセクションでは,CLIを使用して証明書をアップロードする方法を説明します。NNMiユーザーインタフェースを使用してアップロードする方法については,「管理者用のヘルプ」の「通信プロトコルを設定する」を参照してください。
- メモ
-
- ハイパーバイザーとの通信にHTTPを使用する必要がある場合は,「(4) ハイパーバイザーとの通信でHTTPを有効にする」も参照してください。
- ハイパーバイザー上でホストされている仮想マシン(VMware
ESXiなど)を,HTTPSプロトコルを使用してNNMiが監視できるようにするには,次のどちらかの方法でハイパーバイザーの信頼された証明書をNNMiにアップロードする必要があります。
- NNMi ユーザーインタフェースを使用して信頼された証明書をアップロードする。
- コマンドラインインタフェース(CLI)を使用して信頼された証明書をアップロードする。
- 信頼された証明書は,HTTPSプロトコルを使用してハイパーバイザーとの信頼性のある接続を確立するためにNNMiが使用するSSL証明書の 1つです。デフォルトレベルと領域レベルでは,これは同じCAによって発行された証明書を使用するハイパーバイザーを信頼するためにNNMiが使用するCA証明書を指します。ノードレベルでは,これはFQDNをサブジェクト名として使用して生成された,ハイパーバイザーのSSL証明書(自己署名またはCA署名)のことです。
信頼された証明書をNNMiにアップロードするには,次の手順を実行します。
-
ハイパーバイザーの信頼された証明書を取得し,NNMi管理サーバー上の一時的な場所にこれをコピーします。
- メモ
-
(VMwareだけ)VMwareのデフォルト証明書(localhost.localdomain)を,ESXiサーバーのホスト名を使用して生成された証明書と置き換える必要があります。詳細については,VMwareのドキュメントを参照してください。ESX5.1およびESX5.5サーバーで実行する手順の例については,「(2) VMwareデフォルト証明書の置換」を参照してください。
-
証明書がサポートされている形式であることを確認します。サポートされている信頼された証明書ファイルの拡張子は,.pem,.crt,.cer,および.derです。
-
該当するコマンドを実行し,必要なレベルで証明書をアップロードします。次の表から,要件に合うコマンドを選択してください。
レベル
目的
コマンド
デフォ ルト(グローバル) 同じCAによって署名された証明書をハイパーバイザー全体で使用する組織が,信頼された証明書をデフォルトレベルでアップロードするために使用します。
nnmcommunication.ovpl addCertificate -default -cert <fully qualified path to the certificate file>
領域
同じCAによって署名された証明書を特定の領域のハイパーバイザーで使用する組織が,その領域の信頼された証明書をアップロードするために使用します。
nnmcommunication.ovpl addCertificate -region <region name or UUID> -cert <fully qualified path to the certificate file>
ノード
特定のハイパーバイザーで使用するSSL証明書(CA署名または自己署名証明書)をアップロードするために使用します。
注:自己署名またはCA署名証明書は,完全修飾ドメイン名(FQDN)をサブジェクト名として使用して生成する必要があります。
nnmcommunication.ovpl addCertificate -nodeSetting <node name or UUID> -cert <fully qualified path to the certificate file>
コマンド例:
-
デフォルト:nnmcommunication.ovpl addCertificate -default -cert /tmp/new.pem
-
領域:nnmcommunication.ovpl addCertificate -region region1 -cert /tmp/region1.der
-
ノード:nnmcommunication.ovpl addCertificate -nodeSetting node1 -cert /tmp/node1.crt
-
- コマンドが正常に実行されると,コマンド出力に,アップロードされた証明書についての情報が表示されます。証明書の情報を確認します。
- ヒント
-
- アップロードした証明書は,listCertificatesコマンドを使用して表示でき,removeCertificateコマンドを使用して削除できます。詳細については,nnmcommunication.ovplのリファレンスページを参照してください。
- ハイパーバイザーが検出された後,Webエージェント上でupdateWebAgentSettingsコマンドを使用して証明書を直接アップロード,置き換え,または削除できます。詳細については,nnmcommunication.ovplのリファレンスページを参照してください。
NNMi 11-50を新規インストールした環境では,デフォルトではTLS v1.2のみサポートされます。ただし,ESXi 5.1ハイパーバイザーを検出して監視できるようにするには,NNMiでTLSv1暗号プロトコルを使用する必要があります。
デバイスとの通信にTLSv1暗号プロトコルをサポートするようにNNMiを設定するには,次の手順を実行します。
注:この手順により,製品の安全性が低下する可能性があります。
- NNMi管理サーバーにログオンします。
- テキストエディタで次のファイルを開きます。
Windowsの場合:%NnmDataDir%nmsas\nms\server.properties
Linuxの場合:/var/opt/OV/nmsas/nms/server.properties
- nms.comm.soap.https.PROTOCOLSプロパティを更新して,TLSv1という値を含めます。
nms.comm.soap.https.PROTOCOLS=TLSv1.2,TLSv1.1,TLSv1
- 次のコマンドを実行してNNMiプロセスを再起動します。Windowsの場合:
%NnmInstallDir%bin\ovstop -c %NnmInstallDir%bin\ovstart -c
Linuxの場合:/opt/OV/bin/ovstop -c /opt/OV/bin/ovstart -c
(4) ハイパーバイザーとの通信でHTTPを有効にする
デフォルトでは,NNMiはHTTPSプロトコルを使用してハイパーバイザーと通信します。
HTTPを使用する必要がある場合は,次の手順でserver.propertiesファイルに必要なプロパティを追加します。
-
server.propertiesファイルに移動します。
Windowsの場合:%NnmDataDir%nmsas\NNM\server.properties
Linuxの場合:$NnmDataDir/nmsas/NNM/server.properties
-
次の行を追加します。
#VMware vSphere APIなどのSOAPエージェントとの通信でhttpを使用するかどうかを決定します。 #このプロパティはデモ環境またはテスト環境のみで有効にすること、およびHTTPSは本番環境の場合に #設定することをお勧めします。 nms.comm.soap.targetconfig.HTTP_ENABLED=true
-
NNMi 管理サーバーを再起動します。
NNMi管理サーバーでovstopコマンドを実行します。
NNMi管理サーバーでovstartコマンドを実行します。
ハイパーバイザーとの通信でHTTPを無効にするには,次の手順を実行します。
-
server.propertiesファイルに移動します。
Windowsの場合:%NnmDataDir%nmsas\NNM\server.properties
Linuxの場合:$NnmDataDir/nmsas/NNM/server.properties
-
HTTP_ENABLED プロパティ値をfalse に変更します。
nms.comm.soap.targetconfig.HTTP_ENABLED=false
-
NNMi 管理サーバーを再起動します。
NNMi管理サーバーでovstopコマンドを実行します。
NNMi管理サーバーでovstartコマンドを実行します。
-
「(3) ハイパーバイザーとの通信にHTTPSを使用するようにNNMiを設定する」の手順を実行します。