【MS Windows 7 pro sp1】Windows7ファイアーウォールの考え方

Windows7のファイアーウォールの考え方について

業務用ルーターなどと違って、Windows7のファイアーウォールでは、
少々その理解の仕方を変えたほうが良いようだ。

業務用ルーターでのファイアーウォールは、
各ネットワークインターフェイス毎に通信ルールを一つ一つ設定し、このネットワークインターフェイスの制御を行っていると考えると良かった。

しかし、Windows7のファイアーウォールでは、
通信ルールの集合である既存のプロファイルにネットワークインターフェイスを関連付けることで、
ネットワークインターフェイスの制御を行っていると考えると理解しやすかった。

（注）以下、憶測も混じっているので、十分に検証して使用する必要がある。



■ファイアウォールのプロファイル■

WINDOWS7で使われる防御ルールは、3種類のプロファイルを組み合わせて構成される。
ここでプロファイルとは、安全な通信を許可し安全でない通信を拒否するためのルールの集合体である。
また、各プロファイルには、それをどのネットワークインターフェイスに関連付けるかについても設定を行う。
関連付けられたインターフェイスはそのプロファイルによって保護される。

ネットワークインターフェイスが接する外部の環境に応じて、プロファイルは3種用意されている。
それぞれ、「パブリック」、「プライベート」、「ドメイン」である。
ユーザーは自分でルールを一つ一つ考え作成する必要がない。
 
また、プロファイルは、ユーザーのニーズに応じて通信ルールを調整することも可能である。
ほとんどの場合、通信を必要とするアプリケーションとのダイアログでユーザーが応じることで、自動的に再設定される。



■プロファイルと、ネットワークインターフェイス■

プロファイルに関連付けられたネットワークインターフェイスはそのルールの集合によって保護される。
逆に、いずれのプロファイルにも関連付けられていないネットワークインターフェイスは、無防備な状態になると考えられる。
しかし安全なネットワークでは別の言い方をすれば、ネットワーク通信の障害を引き起こすファイアウォールをそのインターフェイスから取り外した状態になる。

私の環境では、どのプロファイルにも関連付けていないネットワークインターフェイスのみが、
外部からのpingコマンドにリプライメッセージを返した。
（＝どれか一つでもプロファイルに関連付けていると応答しなかった。）


私の環境では、デフォルトで各インターフェイスは3種類全てのプロファイルに関連付けられていた。
（＝各プロファイルそれぞれで、同じインターフェイスが関連付けられていた。）
複数のプロファイルに関連付けられたネットワークインターフェイスが、どのようにプロファイルの適用を受けるのか詳しいことはわからない。
インターフェイスから、そのうち一つでもこの保護プロファイルを外せば×印でファイアーウォール警告が表示された。


■プロファイルの設定■

各プロファイルの詳細を表示させるには、次の手順で、専用のウインドウを開く。

○プロファイルに設定された各通信ルールを表示させる

「コントロールパネル」から、「WINDOWSファイアウォール」をクリックし、
さらにそこから「詳細設定」を開く。
左欄にある「受信の規則」「送信の規則」をクリックし、それぞれの通信ルールを表示させられる。

○各プロファイルにどのネットワークインターフェイスが関連付けられているかを表示させる

左欄ルートの「ローカルコンピューターのセキュリティーが強化されたWINDOWSファイアウォール」項目をクリックし、
右側に表示された「概要」から、「WINDOWSファイアウォールのプロパティー」をクリックする。

すると、4つのタブを持ったウインドウが表示され、それぞれ次のような名前が書かれている。
・パブリック　プロファイル
・プライベート　プロファイル
・ドメイン　プロファイル
・IPSecの設定

３つのプロファイルそれぞれの「状態」欄には、「保護されているネットワーク接続」という項目があり、
このプロファイルに関連付けるネットワークインターフェイスを選択することができるようになっている。
チェックボックスを操作し、「適用」ボタンを押すことによって、
このプロファイルに関連付けるインターフェイスを設定できる。

（参考）
 ファイアウォールのプロファイルについて
< http://technet.microsoft.com/ja-jp/library/cc731634%28WS.10%29.aspx > 2011年12月31日

【VMware vSphere Hypervisor 5.0.0 インストーラー】NO DEFAULT or UI configuration directive found ! の対策について【ESXi 5】

VMware vSphere Hypervisor 5.0.0のインストールCDをブートしているとき、次のようなエラーが生じた。

NO DEFAULT or UI configuration directive found !

そして、boot:　というプロンプトが表れて停止した。



■対策（１）■
今回、その原因はどうやら、SATA接続のDVD-ROMドライブ（CD-ROMドライブ）が、
AHCIモードで接続されていたことにあるようだった。

BIOSの設定で、光学ドライブを接続しているSATAポートのみ、IDEモードに切り替えた。
すると、問題なくインストーラーは起動した。
（HDDを接続しているポートは、AHCIモードのままにした。）


■対策（２）■
あるいは、boot:　というプロンプトで次のようにコマンドを入力すると良いようだ。

mboot.c32 -c boot.cfg

すると、インストーラーが起動した。



結局、対策（１）を選んで、ESXI 5のインストールを続行し、無事に解決できた。



（参照）
VMWare vSphere Hypervisor (ESXi) 5.0 installation “no DEFAULT or UI” on boot
< http://www.ivanlam.info/blog/2011/11/04/vmware-vsphere-hypervisor-esxi-5-0-installation-no-default-or-ui-on-boot/ > 2011年12月26日

【VMware vSphere Hypervisor 5.0.0】仮想マシンのコンフィグレーションファイルの名前を後から変更する方法【ESXi 5】

仮想マシンを構成しているファイルの名称を変更する方法について


！警告！　ただし、スナップショットは一切使っていないものとする。
（スナップショットを使っている場合は問題が生じるようだ）

！注意！　必ずバックアップをとってから行うようにする。仮想マシンが壊れてしまうかもしれない。


１、対象のゲストマシンをシャットダウンさせ、poweroff状態にしておく。

２、sshでESXI5に入って仮想マシンのディレクトリに移動し、仮想マシンを構成しているファイル名を変更する

例として、guestos_originalを、guestosに変更する場合には次のようにする

# mv guestos_original.nvram guestos.nvram
# mv guestos_original.vmdk guestos.vmdk
# mv guestos_original.vmsd guestos.vmsd
# mv guestos_original.vmx guestos.vmx
# mv guestos_original.vmxf guestos.vmxf
# mv guestos_original-flat.vmdk  guestos-flat.vmdk

３、変更したファイル名を、.vmxファイルに設定する

各設定項目に変更済みの新しいファイル名を設定する。
guestos-xxxxxxx.vswpの、ハイフンより先、xxxxxxxは英数字で構成されている。
次のように、ハイフン以下を新しい名称（この例では、guestos）に連結するようにする。

# vi guestos.vmx

nvram = "guestos.nvram"
extendedConfigFile = "guestos.vmxf"
scsi0:0.fileName = "guestos.vmdk"
sched.swap.derivedName = "/vmfs/volumes/xyzxyzxyzxyz/guestmachinename/guestos-xxxxxxx.vswp"

４、変更したファイル名を、.vmdkファイル（容量の小さいメタファイルの方）に設定する
次の設定項目に変更済みの新しいファイル名を設定する

# vi guestos.vmdk

RW 209715200 VMFS "guestos-flat.vmdk"

５、変更後は、vSphere Clientをつかってこの仮想マシンをインベントリに再登録する

もし、以前の名称で登録されている場合には、まず「仮想マシンインベントリから削除（Y）」を行う。
次に、「サマリ」タブを開き、「ストレージ」からデータストアを右クリックし、「データストアの参照（B）」を選択する。
仮想マシンを選び、vmxファイルを右クリックし、「インベントリへの追加（A）」を選ぶ。



このようにすることによって、仮想マシンを構成するファイル名を変更し、無事に起動することができた。
ただし、スナップショットは一切使っていない場合に限る。


（参考）
.vmdk Snapshots and the Importance of CID Chains
< http://redshift10.blogspot.com/2008/04/vmdk-snapshots-and-importance-of-cid.html > 2011年12月25日

【VMware vSphere Hypervisor 5.0.0】仮想マシンのスワップを無効化し高速化を期待する【ESXi 5】

ESXI 5では、ゲストマシン動作時にホスト物理メモリを占有するのをできるだけ少なくするために、
ホスト側でメモリスワップファイルを設けている。
ゲストに割り当てられたメモリの一部を、ホスト側でメモリスワップファイルに書き出しているようだ。
これはデフォルトの動作である。

しかし、ゲストに割り当てられるメモリを全てホスト物理メモリから与えてやり、メモリスワップファイルを無効にすることができる。
これによって、ゲストマシンの高速動作を期待できる。
また、SSDを使っている場合にはスワップファイルへの書き込みによるディスク劣化を防げるのだろう。

スワップを使わないようにする設定は、vSphere Clientで行える。
今回扱った仮想マシンのバージョンは、8だった。


＜手順＞
１、対象の「仮想マシン」をシャットダウンしておく。

２、対象の「仮想マシン」を右クリックし、「設定の編集(E)」を開く。

３、「リソース」タブを開き「メモリ」を選択して、右欄の「リソース割り当て」で、
「すべてのゲスト メモリを予約（ロック）」にチェックを入れ、「OK」をクリックする。


設定後、仮想マシンを起動させた。（物理メモリに余裕がなければ、エラーで起動しなかった。）
例えば、2.5GBのメモリを割り当てていた仮想マシンでは、
設定前ではスワップファイルの大きさが2.4GBだったのに対し、設定によってそのサイズは、0になった。

○設定前（スワップファイル有効時）

-rw-------    1 root     root        50.0M vmx-guestos-xxxxxxxxxx-1.vswp
-rw-------    1 root     root         2.4G guestos-yyyyyyyy.vswp

○設定後（スワップファイル無効時）

-rw-------    1 root     root        50.0M vmx-guestos-xxxxxxxxxx-1.vswp
-rw-------    1 root     root            0 guestos-yyyyyyyy.vswp

ただし、50メガバイトのファイルはそのままだった。

そして仮想マシンの動作は、体感であるが軽快になったと思う。



◎ちなみに、変更を行った仮想マシンの設定ファイル（.vmxファイル）上には、次の項目が追記されていた。

多分、上二つは、vmware toolsをインストールしたときに設定された項目だと思う。
下二つのみが、スワップ無効化の設定によって、今回追記されたのだと思う。

tools.syncTime = "FALSE"
unity.wasCapable = "FALSE"
sched.mem.min = "2500"
sched.mem.pin = "TRUE"

前述の通りvSphere Clientを使って設定できるので、.vmxファイルを直接操作する必要はない。

（注意）
ホストメモリが十分ではない場合、ゲストマシンの起動が許可されない。次のようにエラーになる。
ぎりぎりでは駄目みたい。

仮想マシンのパワーオンに失敗しました。
仮想マシンをパワーオンできませんでした： メモリ リソースの許可チェックに失敗しましたリソース管理設定の詳細については、VMware ESX リソース管理ガイドを参照してください。
グループ vm.236833: 仮想マシン vmm0:guestos-yyyyyyyy のメモリ割り当てパラメータが無効です。(分: 640000、最大: -1、minLimit: -1、共有: -1、単位: pages)
グループ vm.236833：仮想マシンを受け入れられません：メモリ の受け入れチェックが失敗しました。要求された予約： 667609 pages

（参考）
Migrating to ESXi 5 Worth the Trip
< http://wfcastle33.wordpress.com/2011/11/02/migrating-to-esxi-5-worth-the-trip/ > 2011年12月25日

【VMware vSphere Hypervisor 5.0.0】作成した仮想マシンファイルをとりあえず簡易にバックアップする方法【ESXi 5】

とりあえず手動で仮想マシンファイルのバックアップする方法


ESXI 5では、普通にcpコマンドを使って、HDDイメージであるvmdkファイルをコピーすると、
「シン」タイプのvmdkファイルであるにもかかわらず、ホストの物理領域を大きく占有してしまった。

「シン」タイプのvmdkファイルのバックアップをとる場合には、 専用ツール（vmkfstools -i）を使う必要がある。


□まずは、sshでESXI 5.0.0にログイン

データストアのディレクトリに移動する

# cd /vmfs/volumes/datastore1/

バックアップ用ディレクトリを作成する

# mkdir backup-guestmachine

対象の仮想マシンのディレクトリに移動する

# cd guestmachine

□次に、二つの手順で、仮想マシンファイルをバックアップする


 １、先にvmdkファイル以外のファイルを全てコピーする

（注意）　`find . ! -name '*.vmdk' -type f`　の部分で、「`」を使っているが、これはバッククォート（@キーをshiftで押して得られるもの）である。
また、「!」は否定を意味する。
各行でエンターし一連のコマンドを入力する。doneの行ではエンターで一連のコマンドが実行される。

# for f in `find . ! -name '*.vmdk' -type f`
> do cp $f ../backup-guestmachine/
> done

この処理はすぐに終わった。


２、次に、ディスクイメージに相当するvmdkファイルを、「シン」タイプでクローニングする

# vmkfstools -i ./guest.vmdk -d thin ../backup-guestmachine/guest.vmdk

Destination disk format: VMFS thin-provisioned
Cloning disk './guest.vmdk'...
Clone: 100% done.　　←進捗は一定でなく、速く進むところがあった。

これによって、あて先ディレクトリに、-flat.vmdkファイルと、vmdkが生成される。
ただし、-flat.vmdkファイルは、lsコマンドではプロビジョニング後の「容量」しか表示されない。
実際の物理的な占有サイズは、「df -h」コマンドを使ってマウントポイントごとに確かめる。



◎実際の占有サイズが5GBほどのthin-provisionedディスクイメージ（900GB）を上のコマンドを使いコピーした結果、次のことがわかった。

＜ローカルからNFSに転送した場合＞
ネットワーク上には5GBほどしか流れなかった。

＜NFSからローカルディスクに転送した場合＞
ネットワーク上には900GBのデータが流れた。
シンタイプのイメージであっても、いったん言わばシック状態に戻されて転送されるのかもしれない。
しかし転送先のディスクにはシン状態で再び保存されるようである。

ローカルからNFSにバックアップするとき、シンタイプディスクイメージの転送はとても早く済むので時間の節約になった。




（参考）
・ESXiでVMのホットバックアップをとるスクリプト
< http://blog.cles.jp/item/3731 > 2011年12月24日

・vmdk.flat
< http://communities.vmware.com/message/796481 > 2011年12月24日

・VMware ESXi で容量可変の仮想ディスクを作成/変換する
< http://www.maruko2.com/mw/VMware_ESXi_%E3%81%A7%E5%AE%B9%E9%87%8F%E5%8F%AF%E5%A4%89%E3%81%AE%E4%BB%AE%E6%83%B3%E3%83%87%E3%82%A3%E3%82%B9%E3%82%AF%E3%82%92%E4%BD%9C%E6%88%90/%E5%A4%89%E6%8F%9B%E3%81%99%E3%82%8B > 2011年12月24日