従前に使用していたMac Mini (2011)が、どうもGPUがやられたみたいで使えなくなったので、別途 i5-4590S で構築したときのメモ。
ESXi6.0は2022/3にEoTGを迎えました。
ESXi6.5/6.7も2022/10にEoGSを迎えました(EOTGは2023/11の予定)。可能であればESXi7.0を使いましょう!
https://kb.vmware.com/s/article/66977?lang=ja
環境
- あたま
M/B :H97M-D3H
CPU: i5-4590S
主記憶;32GB
補助:480GB SSD
足回り:Intel 1Gbps (カニさんがオンボードだが見なかったことにする)
今回4590Sを選んだので、vt-xもvt-dも使えます。未接続になってる蟹NICや、USB機器もゲストから参照できますね!
…さすがにオンボードSATAコントローラは、RAIDとしては認識してくれませんでした。ディスクの冗長化を考えるともういっこNASを立ててゲスト情報をそっちに逃がすとか考えないとですね。
ESXi 6.0を構築する
- ハイパーバイザの準備
事前に vmware esxi 6.0 をダウンロードします。
適当なCD-RWに書き込みませう。(Imageburnを使いました) - インストール
よしなに。 - 再起動
CD-RWが射出されたら、DHCPで192.xxx.xxx.xx1 /24 が払い出されたのを確認。
いったんSSHを有効にしておきます。(SSHはチャレンジレスポンス認証になる)
最新版へのアップデート
- SSHをESXiで有効にする
- メンテナンスモードを有効にする
すでに1個以上ゲストが動作中であれば、シャットダウンなりパワーオフなりする - SSHでESXiに接続する
まず現状を確認しておこおう。
[root@esxi:~] esxcli system version get Product: VMware ESXi Version: 6.0.0 Build: Releasebuild-6921384 Update: 3 Patch: 79 [root@esxi:~] esxcli software profile get (Updated) ESXi-6.0.0-20160302001-standard Name: (Updated) ESXi-6.0.0-20160302001-standard ...
HTTPClientを使用してパッチを受信します。
[root@esxi:~] esxcli network firewall ruleset list | grep httpClient httpClient true [root@esxi:~] esxcli network firewall ruleset set --ruleset-id=httpClient --enab led=true [root@esxi:~] esxcli software sources profile list -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml | grep ESXi-6.0 | sort ESXi-6.0.0-20150404001-no-tools VMware, Inc. PartnerSupported ESXi-6.0.0-20150404001-standard VMware, Inc. PartnerSupported (中略) ESXi-6.0.0-20171104001-no-tools VMware, Inc. PartnerSupported ESXi-6.0.0-20171104001-standard VMware, Inc. PartnerSupported ESXi-6.0.0-2494585-no-tools VMware, Inc. PartnerSupported ESXi-6.0.0-2494585-standard VMware, Inc. PartnerSupported
2018/03時点で、Hypervisor に出ているアップデートの最新は2017/11 のもののようだ。
これを適用して再起動する。
[root@esxi:~] esxcli software profile update -d https://hostupdate.vmware.com/software/VUM/PRODUCTION/main/vmw-depot-index.xml -p ESXi-6.0.0-20171104001-standard Update Result Message: Host is not changed. Reboot Required: false VIBs Installed: VIBs Removed: (中略) [root@esxi:~] esxcli network firewall ruleset set --ruleset-id=httpClient --enabled=false [root@esxi:~] esxcli network firewall ruleset list | grep httpClient httpClient false [root@esxi:~] reboot
再起動後、 https://ipaddr/ui/ で、HTML Client が使えるようになる。(既存の .net Clientでもある程度操作はできますけどね…)
自己証明書でTLSのワーニングを抑える
インストール直後は localhost.localdomain になってたり、IPアドレスでUIに接続するとTLS証明書がワーニングを出したり色々面倒なのでオレオレ証明書を作ることにする。なお、今回は諸事情でNVR510も使う(何
- ホスト名を決める
流石にlocalhost.localdomain ではダサいので、適当にホスト名(FQDN)を決めます。
安直に vmhost.foobar.local などとしてみます(便宜上、自身が登録しているドメイン名のうち、公開していないサブドメインをホスト名にしておきましょう) - NVR510 にホスト名を登録する
接続する端末が1台だけであれば、hostsを変えるだけでもいいんですけどね…
> administrator Password: # ip host vmhost.foobar.local 192.168.xxx.xxx # save セーブ中... CONFIG0 終了 # exit
- ESXi でホスト名を変更する
ESXi のHTML Client の場合、
「ナビゲータ」→「ネットワーク」
「TCP/IP スタック」→「デフォルトのTCP/IP」を選択した状態で「アクション」→「設定の編集」
「ホスト名」:さきほど決めたホスト名
「ドメイン名」:さきほど決めたドメイン名
「プライマリDNSサーバ」:この場合、NVR510のアドレス(DNSサーバが別途立っていれば、そちらを)
…一回再起動しておきましょう(おまじない) - ESXi で自己署名証明書の再構築
既存の自己署名証明書は localhost.localdomain になっているので、これを再構築します
cd /etc/vmware/ssl mv rui.crt rui.crt.org mv rui.key rui.key.org /sbin/generate-certificates reboot
- ブラウザの「信頼する証明書」に登録する
Windows7以降の場合、Internet Explorer を「管理者として実行」で起動し、https://FQDN/ui/ で表示したサイト(「安全でないサイト」と表示される)にてアドレスバーの鍵マークをクリック
「証明書を表示」→表示されたダイアログで「証明書のインストール」を押下
「ローカルコンピュータ」→「信頼されたルート証明機関」の順に押下
…個人で使う分には自己署名でいいと思うですけどね。(汗
TODO:MacOSでの自己署名証明書の登録手順
気付き
- HTML Client そこそこ快適
vCenterほどではないけど。vCenterほどではないけど。MacOSからも(ひとまず)使える。
おまけ:ユーザーとロール
- ユーザーとロール(ESXに仕込む場合)
各ESXサーバに直接ログインして「電源のオン・オフだけ」やらせる設定をする場合は、
vsphere clientで各ESXホストにつないでから
1)インベントリ→「ローカルユーザ」でユーザ/グループ定義
2)制限(というか許可)したい場所まで移動して「権限」→役割追加
3)役割追加のところで、さっき作ったユーザを「追加」
…といった塩梅。 - ユーザーとロール(AD運用する場合)
vCSA/Windows のvCenter で、AD運用の場合はこんな感じ。
1)ADでユーザ追加する(既にあるユーザを使うなら、割愛)
2) vsphere clientでvCenterにつないでから 制限(というか許可)したい場所まで移動して「権限」→役割追加
3)役割追加のところで、さっき作ったユーザを「追加」
…といった塩梅。 - ユーザーとロール(vCSAかつ、AD運用しない場合)
vCSA運用で、かつAD使わない場合は、めんどくさい。
1)vCSAのシェル画面で useraddする
2) vsphere clientでvCenterにつないでから 制限(というか許可)したい場所まで移動して「権限」→役割追加
3)役割追加のところで、さっき作ったユーザを「追加」
…といった塩梅。
vCSAのシェル画面ってのが、案外敷居高そう。 - ユーザーとロール(windowsかつ、AD運用しない場合)
windowsにvCenterいれて、AD運用しない場合は、めんどくさい。
1)vCenter使うコンピュータの「コンピュータの管理」→「ローカルユーザ」で ユーザを追加する
2) vsphere clientでvCenterにつないでから 制限(というか許可)したい場所まで移動して「権限」→役割追加
3)役割追加のところで、さっき作ったユーザを「追加」
…といった塩梅。