VMware ESXi 6.0ホストの構築

従前に使用していたMac Mini (2011)が、どうもGPUがやられたみたいで使えなくなったので、別途 i5-4590S で構築したときのメモ。

ESXi6.0は2022/3にEoTGを迎えました。
ESXi6.5/6.7も2022/10にEoGSを迎えました(EOTGは2023/11の予定)。可能であればESXi7.0を使いましょう!
https://kb.vmware.com/s/article/66977?lang=ja

環境

  • あたま
    M/B :H97M-D3H
    CPU: i5-4590S
    主記憶;32GB
    補助:480GB SSD
    足回り:Intel 1Gbps (カニさんがオンボードだが見なかったことにする)
    今回4590Sを選んだので、vt-xもvt-dも使えます。未接続になってる蟹NICや、USB機器もゲストから参照できますね!
    …さすがにオンボードSATAコントローラは、RAIDとしては認識してくれませんでした。ディスクの冗長化を考えるともういっこNASを立ててゲスト情報をそっちに逃がすとか考えないとですね。

ESXi 6.0を構築する

  • ハイパーバイザの準備
    事前に vmware esxi 6.0 をダウンロードします。
    適当なCD-RWに書き込みませう。(Imageburnを使いました)
  • インストール
    よしなに。
  • 再起動
    CD-RWが射出されたら、DHCPで192.xxx.xxx.xx1 /24 が払い出されたのを確認。
    いったんSSHを有効にしておきます。(SSHはチャレンジレスポンス認証になる)

最新版へのアップデート

  • SSHをESXiで有効にする
  • メンテナンスモードを有効にする
    すでに1個以上ゲストが動作中であれば、シャットダウンなりパワーオフなりする
  • SSHでESXiに接続する

    まず現状を確認しておこおう。

[root@esxi:~] esxcli system version get
   Product: VMware ESXi
   Version: 6.0.0
   Build: Releasebuild-6921384
   Update: 3
   Patch: 79
[root@esxi:~]  esxcli software profile get
(Updated) ESXi-6.0.0-20160302001-standard
   Name: (Updated) ESXi-6.0.0-20160302001-standard
   ...

HTTPClientを使用してパッチを受信します。

[root@esxi:~] esxcli network firewall ruleset list | grep httpClient
httpClient                   true
[root@esxi:~] esxcli network firewall ruleset set --ruleset-id=httpClient --enab
led=true
[root@esxi:~] esxcli software sources profile list -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml | grep ESXi-6.0 | sort
ESXi-6.0.0-20150404001-no-tools   VMware, Inc.  PartnerSupported
ESXi-6.0.0-20150404001-standard   VMware, Inc.  PartnerSupported
 (中略)
ESXi-6.0.0-20171104001-no-tools   VMware, Inc.  PartnerSupported
ESXi-6.0.0-20171104001-standard   VMware, Inc.  PartnerSupported
ESXi-6.0.0-2494585-no-tools       VMware, Inc.  PartnerSupported
ESXi-6.0.0-2494585-standard       VMware, Inc.  PartnerSupported

2018/03時点で、Hypervisor に出ているアップデートの最新は2017/11 のもののようだ。
これを適用して再起動する。

[root@esxi:~] esxcli software profile update -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml -p ESXi-6.0.0-20171104001-standard
Update Result
   Message: Host is not changed.
   Reboot Required: false
   VIBs Installed:
   VIBs Removed:
 (中略)
[root@esxi:~] esxcli network firewall ruleset set --ruleset-id=httpClient --enabled=false
[root@esxi:~] esxcli network firewall ruleset list | grep httpClient
httpClient                  false
[root@esxi:~] reboot

再起動後、 https://ipaddr/ui/ で、HTML Client が使えるようになる。(既存の .net Clientでもある程度操作はできますけどね…)

自己証明書でTLSのワーニングを抑える

インストール直後は localhost.localdomain になってたり、IPアドレスでUIに接続するとTLS証明書がワーニングを出したり色々面倒なのでオレオレ証明書を作ることにする。なお、今回は諸事情でNVR510も使う(何

  • ホスト名を決める
    流石にlocalhost.localdomain ではダサいので、適当にホスト名(FQDN)を決めます。
    安直に vmhost.foobar.local などとしてみます(便宜上、自身が登録しているドメイン名のうち、公開していないサブドメインをホスト名にしておきましょう)
  • NVR510 にホスト名を登録する
    接続する端末が1台だけであれば、hostsを変えるだけでもいいんですけどね…
> administrator
Password:
# ip host vmhost.foobar.local  192.168.xxx.xxx
# save
セーブ中... CONFIG0 終了
# exit
  • ESXi でホスト名を変更する
    ESXi のHTML Client の場合、
    「ナビゲータ」→「ネットワーク」
    「TCP/IP スタック」→「デフォルトのTCP/IP」を選択した状態で「アクション」→「設定の編集」
    「ホスト名」:さきほど決めたホスト名
    「ドメイン名」:さきほど決めたドメイン名
    「プライマリDNSサーバ」:この場合、NVR510のアドレス(DNSサーバが別途立っていれば、そちらを)
    …一回再起動しておきましょう(おまじない)
  • ESXi で自己署名証明書の再構築
    既存の自己署名証明書は localhost.localdomain になっているので、これを再構築します
cd /etc/vmware/ssl
mv rui.crt rui.crt.org
mv rui.key rui.key.org
/sbin/generate-certificates
reboot

https://docs.vmware.com/jp/VMware-vSphere/5.5/com.vmware.vsphere.security.doc/GUID-EA0587C7-5151-40B4-88F0-C341E6B1F8D0.html

  • ブラウザの「信頼する証明書」に登録する
    Windows7以降の場合、Internet Explorer を「管理者として実行」で起動し、https://FQDN/ui/ で表示したサイト(「安全でないサイト」と表示される)にてアドレスバーの鍵マークをクリック
    「証明書を表示」→表示されたダイアログで「証明書のインストール」を押下
    「ローカルコンピュータ」→「信頼されたルート証明機関」の順に押下

…個人で使う分には自己署名でいいと思うですけどね。(汗
TODO:MacOSでの自己署名証明書の登録手順

気付き

  • HTML Client そこそこ快適
    vCenterほどではないけど。vCenterほどではないけど。MacOSからも(ひとまず)使える。

おまけ:ユーザーとロール

  • ユーザーとロール(ESXに仕込む場合)
    各ESXサーバに直接ログインして「電源のオン・オフだけ」やらせる設定をする場合は、
    vsphere clientで各ESXホストにつないでから
    1)インベントリ→「ローカルユーザ」でユーザ/グループ定義
    2)制限(というか許可)したい場所まで移動して「権限」→役割追加
    3)役割追加のところで、さっき作ったユーザを「追加」
    …といった塩梅。
  • ユーザーとロール(AD運用する場合)
    vCSA/Windows のvCenter で、AD運用の場合はこんな感じ。
    1)ADでユーザ追加する(既にあるユーザを使うなら、割愛)
    2) vsphere clientでvCenterにつないでから 制限(というか許可)したい場所まで移動して「権限」→役割追加
    3)役割追加のところで、さっき作ったユーザを「追加」
    …といった塩梅。
  • ユーザーとロール(vCSAかつ、AD運用しない場合)
    vCSA運用で、かつAD使わない場合は、めんどくさい。
    1)vCSAのシェル画面で useraddする
    2) vsphere clientでvCenterにつないでから 制限(というか許可)したい場所まで移動して「権限」→役割追加
    3)役割追加のところで、さっき作ったユーザを「追加」
    …といった塩梅。
    vCSAのシェル画面ってのが、案外敷居高そう。
  • ユーザーとロール(windowsかつ、AD運用しない場合)
    windowsにvCenterいれて、AD運用しない場合は、めんどくさい。
    1)vCenter使うコンピュータの「コンピュータの管理」→「ローカルユーザ」で ユーザを追加する
    2) vsphere clientでvCenterにつないでから 制限(というか許可)したい場所まで移動して「権限」→役割追加
    3)役割追加のところで、さっき作ったユーザを「追加」
    …といった塩梅。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください