被監視サーバでは、収集のためのアカウント設定が必要です。
VMware Host Clientを使用して、アカウントの設定を行います。
ここで説明する手順はVMware vSphere 7.0の場合の例です。手順についての詳細はVMwareのマニュアルを参照してください。
リモートで接続するためにユーザーを作成します。
VMware Host Clientを使用して、VMware ESXiサーバを接続先に指定してシステム管理者のアカウントでログインします。
注意
VMware vSphere Clientを使用して、VMware vCenter Server Applianceに接続して作成したユーザーは、VMware ESXiの監視には使用できません。
左ペインで[ホスト]配下の[管理]をクリックします。
右ペインで[セキュリティとユーザー]タブを選択し、[ユーザー]をクリックします。
[ユーザーの追加]をクリックすると、[ユーザーを追加します]ダイアログが開きます。
ユーザー名およびパスワードを設定して、[追加]ボタンをクリックします。
作成したユーザーに参照権限を与えます。
左ペインで[ホスト]をクリックします。
右ペインで[アクション] - [権限]をクリックし、[権限を管理します]ダイアログを開きます。
[ユーザーの追加]をクリックして切り替わった画面で、[ユーザーを選択]プルダウンリストから該当のユーザー、[ロールを選択]プルダウンリストから[読み取り専用]を選択し、[すべての子へ伝達]チェックボックスがONになっていることを確認して、[ユーザーの追加]ボタンをクリックします。
[権限を管理します]ダイアログで追加したユーザーがリストに表示されていることを確認して、[閉じる]ボタンをクリックします。
ここで説明する手順はVMware vSphere 7.0の場合の例です。手順についての詳細はVMwareのマニュアルを参照してください。
リモートで接続するためのユーザーを用意します。
VMware vSphere 8.0以降の場合
以下のどちらかを実施します。
VMware vSphere Clientにログインできる管理者のアカウントを使用します。
VMware vCenter Server Applianceを導入しているLinuxサーバにログインして、vCenter Serverのローカルユーザーアカウントを作成します。
VMware vSphere 7.0の場合
VMware vCenter Server Applianceを導入しているLinuxサーバにログインして、vCenter Serverのローカルユーザーアカウントを作成します。
VMware vSphere Clientに、管理者のアカウントでログインします。
手順1.でローカルユーザーアカウントを作成した場合は、作成したユーザーに参照権限を与えます。
左ペインでVMware vCenter Server Applianceのサーバ(ツリーの1番上)上で右クリックし、[権限の追加]をクリックすると、[権限の追加]ダイアログが表示されます。
[追加]ボタンをクリックすると、[ユーザー/グループの選択]ダイアログが開きます。
以下のように設定し、[OK]ボタンをクリックします。
[ドメイン]: [localos]
[ユーザー/グループ]: 手順1.で作成したユーザー
[ロール]: [読み取り専用]
[子へ伝達]のチェックボックス: ON
ユーザーの設定を確認します。
左ペインでVMware vCenter Server Applianceのサーバ(ツリーの1番上)を選択します。
中央のパネルで[権限]タブをクリックして、接続に使用するユーザーがリスト中に表示されることを確認します。
ユーザーのロールが以下であることを確認します。
管理者のアカウントの場合: システム管理者
手順1.で作成したユーザーの場合: 読み取り専用
historical dataを収集するための設定を行います。
VMware vSphere Clientを使用して、VMware vCenter Server Applianceに管理者のアカウントでログインします。
左ペインでVMware vCenter Server Applianceのサーバ(ツリーの1番上)を選択して、[設定]タブをクリックします。
設定画面の中の[詳細設定]を選択して、[vCenter Serverの詳細設定]ページで[設定の編集]ボタンをクリックします。
「config.vpxd.stats.maxQueryMetrics」キーを追加、またはキーの値を変更します。
キーを追加する場合は、リストの下にある入力欄で名前「config.vpxd.stats.maxQueryMetrics」とその値を入力してから、[追加]ボタンをクリックします。
キーに設定する値については、【config.vpxd.stats.maxQueryMetricsの設定】を参照してください。
[保存]ボタンをクリックして設定値を反映します。
vSANを使用している環境の場合は、vSANパフォーマンスサービスの設定を有効にします。
VMware vSphere Clientを使用して、VMware vCenter Server Applianceに管理者のアカウントでログインします。
左ペインのツリーでvSANのクラスタを選択して、[設定]タブをクリックします。
設定画面の中の[vSAN]-[サービス]を選択して、パフォーマンスサービスの状態を確認します。
無効の場合は、[編集]ボタンをクリックします。
有効の場合は、以降の手順は不要です。
「vSANパフォーマンスサービスの有効化」をONにして、ストレージポリシーを選択し、[適用]ボタンをクリックします。
【config.vpxd.stats.maxQueryMetricsの設定】
「config.vpxd.stats.maxQueryMetrics」キーに設定する値は、VMware vCenter Server Applianceの配下にある仮想マシン数によって、以下のように算出します。
仮想マシン数が50以下の場合: 500
仮想マシン数が51~100の場合: 1000
仮想マシン数が100を超える場合: -1
なお、-1は「config.vpxd.stats.maxQueryMetrics」の制限を無効にすることを意味します。
注意
[vCenter Serverの詳細設定]ページのリストに「config.vpxd.stats.maxQueryMetrics」キーが表示されていない場合は、キーを追加してください。
「config.vpxd.stats.maxQueryMetrics」キーにすでに設定されている値が、-1または上記で算出した値よりも大きい場合は、値の変更はしないでください。
■WMIで通信する場合
WMIでアクセスするためのアカウントの準備
リモート接続(ログイン)するために管理者アカウントを準備してください。
管理者アカウントは、[ユーザーは次回ログオン時にパスワードの変更が必要]を設定しないでください。
なお、ユーザーアカウント制御(UAC)を使用している場合、以下のどちらかの作業を実施してください。
Active Directoryを導入している場合
Active Directoryが導入されたドメイン環境のとき、接続先のローカルAdministratorsグループに所属するドメインアカウントを設定してください。
Active Directoryを導入していない場合
用意した管理者アカウントに対して、以下を実施してください。
[コントロールパネル] - [ユーザーアカウント] - [別のアカウントの管理]で、用意した管理者アカウントを選択し、[アカウントの種類の変更]で「管理者」を選択します。
[コンポーネントサービス](注)にて[コンポーネントサービス] - [コンピュータ] - [マイコンピュータ]を右クリックして[プロパティ]を選択します。
注) コマンドプロンプトから「DCOMCNFG.EXE」コマンドを起動します。
[マイコンピュータのプロパティ]の[COMセキュリティ]タブより、以下を設定します。
[アクセス許可]の[制限の編集]をクリックし、「ANONYMOUS LOGON」に対する[リモートアクセス]を許可します。
[起動とアクティブ化のアクセス許可]の[制限の編集]をクリックし、[グループ名またはユーザー名]に用意したアカウントを追加します。[<ユーザー名>のアクセス許可]では、「リモートからの起動」、「リモートからのアクティブ化」を許可します。
設定の際に、[DCOM のコンピューター全体の設定]のメッセージが表示されることがあります。その場合は、[はい]をクリックして設定を更新してください。
[コンピューターの管理]の、[サービスとアプリケーション]で、[WMIコントロール]を選択後右クリックし、[プロパティ]を選択します。
[WMIコントロールのプロパティ]の[セキュリティ]タブで、以下の名前空間を選択して、[セキュリティ]をクリックします。
<名前空間>
Root
Root\DEFAULT
Root\CIMV2
Root\WMI
[セキュリティ]では用意した管理者アカウントを追加し、[特殊なアクセス許可]以外のすべての項目に対してアクセスを許可します。
注意
管理者アカウントとしてAdministratorでないユーザーを選択した場合、UACによって権限が制限され、一般ユーザーの権限で接続されます。これにより、アクセス拒否が発生し、性能情報を取得できないことがあります。
これを回避するためには、被監視サーバにおいて、以下の1,2のいずれかを行ってください。
UACを無効化する場合
ローカルセキュリティポリシーまたはグループポリシーでUACを無効にします。
UACでリモート接続を許可するレジストリの設定を実施する場合
コマンドプロンプトで、以下のコマンドを実行します。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f |
なお、元に戻す場合は、以下のコマンドを実行してください。
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /f |
ファイアーウォールの設定
ファイアーウォールでWMIを使用するポートを設定します。WMIは、135と1024以降の動的に割りあたるポートを設定します。
ファイアーウォールの環境では、以下の設定を実施します。
「Windows Management Instrumentationの例外許可」を設定します。
例外許可を設定します。
[セキュリティが強化された Windows ファイアウォール] /[セキュリティが強化された Windows Defender ファイアウォール]- [受信の規則]/[送信の規則]で、以下の項目を選択し右クリックして、[プロパティ]を表示します。
[受信の規則]
・Windows Management Instrumentation (DCOM 受信)
・Windows Management Instrumentation (WMI 受信)
[送信の規則]
・Windows Management Instrumentation (WMI 送信)
[全般]タブで、全般の[有効]をチェックし、操作の[接続を許可する]を選択して、[OK]ボタンをクリックします。
スコープを設定します。
[セキュリティが強化された Windows ファイアウォール]/ [セキュリティが強化された Windows Defender ファイアウォール]- [受信の規則]/[送信の規則]で、以下の項目を右クリックし、[プロパティ]を表示します。
[受信の規則]
・Windows Management Instrumentation (DCOM 受信)
・Windows Management Instrumentation (WMI 受信)
[送信の規則]
・Windows Management Instrumentation (WMI 送信)
[スコープ]タブで、以下のどちらかの方法で設定します。
・[リモート IP アドレス]で[任意のIPアドレス]を選択する。
・[リモート IP アドレス]で、[これらのIPアドレス]を選択し、そのコンピュータを監視するサーバ(Manager/Proxy Manager)のIPアドレスを設定する。
[これらの IP アドレス]の領域に[ローカルサブネット]が表示されている場合は、このコンピュータを異なるサブネットのManager/Proxy Managerから監視することができません。設定を変更してください。
注意
[セキュリティが強化された Windows ファイアウォール]/[セキュリティが強化された Windows Defender ファイアウォール] - [受信の規則]/[送信規則]で設定する項目について
以下の項目が、プロファイル(ドメイン、パブリック、プライベート)ごとにある場合、システムで使用しているプロファイルに対する項目を許可してください。
[受信の規則]
Windows Management Instrumentation (DCOM 受信)
Windows Management Instrumentation (WMI 受信)
[送信の規則]
Windows Management Instrumentation (WMI 送信)
使用しているプロファイルは、netshコマンドで確認できます。
netsh advfirewall show currentprofile |
WMIサービスの設定
WMIのサービス(Windows Management Instrumentation)を自動起動に設定します。
最後に、設定したサーバにWMIで接続し、作成したユーザーでログインできることを確認してください。
リモートで接続するためにユーザーを作成します。そのときに、ユーザーのホームディレクトリを設定してください。
例えば、useraddまたはusermodコマンドを使う場合は、-dオプションなどでユーザーのホームディレクトリを設定してください。また、ホームディレクトリが存在しない場合は、ホームディレクトリを作成してください。ホームディレクトリには、ユーザーの書き込みできる権限を設定してください。
また、そのユーザーのログインシェルは、sh、bash、kshのいずれかとしてください。
SSHデーモンを自動起動に設定します。
SSHがインストールされていない環境では、SSHをインストールしてください。
インストール方法やデーモンの起動、設定方法は、SSHのマニュアルを参照してください。
注意
SSHに接続する側(クライアント)の定期的な生存確認の設定を行う場合、設定値は以下のようにしてください。
ClientAliveInterval: 10以上
ClientAliveCountMax: 2以上
設定したサーバに、SSHで接続し、作成したユーザーでログインできることを確認してください。
作成したユーザーに性能情報を収集するために使用するコマンドを実行する権限を追加します。
ユーザーにコマンドを実行する権限を与えるために、以下の設定を実施してください。
Linux仮想マシン機能(KVM)が動作しているLinuxサーバにログインし、スーパーユーザーになります。
visudoコマンドを実行し、sudoersファイルを編集します。
# /usr/sbin/visudo |
sudoersファイルの最後に以下の行を追加して、保存します。
以下は、接続アカウントが「user1」の場合の設定例です。接続アカウントにあわせて変更してください。
【設定例】
user1 ALL=(ALL) NOPASSWD: /usr/bin/virt-top user1 ALL=(ALL) NOPASSWD: /usr/bin/virsh user1 ALL=(ALL) NOPASSWD: /sbin/fdisk user1 ALL=(ALL) NOPASSWD: /bin/df user1 ALL=(ALL) NOPASSWD: /sbin/ethtool user1 ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode user1 ALL=(ALL) NOPASSWD: /sbin/chkconfig |
接続アカウントでログインして、「sudo -l」コマンドを実行します。
$ sudo -l |
【実行結果例】
$ sudo -l
User user1 may run the following commands on this host:
(ALL) NOPASSWD: /usr/bin/virt-top
(ALL) NOPASSWD: /usr/bin/virsh
(ALL) NOPASSWD: /sbin/fdisk
(ALL) NOPASSWD: /bin/df
(ALL) NOPASSWD: /sbin/ethtool
(ALL) NOPASSWD: /usr/sbin/dmidecode
(ALL) NOPASSWD: /sbin/chkconfigRed Hat Enterprise Linux 9以降の場合、以下の手順でカーネルパラメーターの変更を行ってください。
Linux仮想マシン機能(KVM)が動作しているLinuxサーバにログインし、スーパーユーザーになります。
/etc/sysctl.confファイルをエディタで開き、以下のカーネルパラメーターの値を0に変更後、保存します。
fs.protected_regular = 0 |
なお、上記カーネルパラメーターが存在しない場合は、上記行を追加してください。
以下のコマンドを実行し、設定したカーネルパラメーターをシステムに反映します。
# /usr/sbin/sysctl -p |
以下のコマンドを実行し、値が0に変更されていることを確認してください。
# /usr/sbin/sysctl -a | grep fs.protected_regular |
【実行結果例】
# /usr/sbin/sysctl -a | grep fs.protected_regular |
リモートで接続するためにユーザーを作成します。そのときに、ユーザーのホームディレクトリを設定してください。
例えば、useraddまたはusermodコマンドを使う場合は、-dオプションなどでユーザーのホームディレクトリを設定してください。また、ホームディレクトリが存在しない場合は、ホームディレクトリを作成してください。ホームディレクトリには、ユーザーの書き込みできる権限を設定してください。
また、そのユーザーのログインシェルは、sh、bash、kshのいずれかとしてください。
SSHデーモンを自動起動に設定します。
SSHがインストールされていない環境では、SSHをインストールしてください。
インストール方法やデーモンの起動、設定方法は、SSHのマニュアルを参照してください。
注意
SSHに接続する側(クライアント)の定期的な生存確認の設定を行う場合、設定値は以下のようにしてください。
ClientAliveInterval: 10以上
ClientAliveCountMax: 2以上
設定したサーバに、SSHで接続し、作成したユーザーでログインできることを確認してください。
作成したユーザーに性能情報を収集するために使用するコマンドを実行する権限を追加します。
ユーザーにコマンドを実行する権限を与えるために、以下の設定を実施してください。
Oracle VM Server for x86が動作しているLinuxサーバにログインし、スーパーユーザーになります。
visudoコマンドを実行し、sudoersファイルを編集します。
# /usr/sbin/visudo |
sudoersファイルの最後に以下の行を追加して、保存します。
以下は、接続アカウントが「user1」の場合の設定例です。接続アカウントにあわせて変更してください。
【設定例】
user1 ALL=(ALL) NOPASSWD: /usr/sbin/xentop user1 ALL=(ALL) NOPASSWD: /sbin/fdisk user1 ALL=(ALL) NOPASSWD: /bin/df user1 ALL=(ALL) NOPASSWD: /sbin/ethtool user1 ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode user1 ALL=(ALL) NOPASSWD: /sbin/chkconfig |
接続アカウントでログインして、「sudo -l」コマンドを実行します。
$ sudo -l |
【実行結果例】
$ sudo -l
User user1 may run the following commands on this host:
(ALL) NOPASSWD: /usr/sbin/xentop
(ALL) NOPASSWD: /sbin/fdisk
(ALL) NOPASSWD: /bin/df
(ALL) NOPASSWD: /sbin/ethtool
(ALL) NOPASSWD: /usr/sbin/dmidecode
(ALL) NOPASSWD: /sbin/chkconfig接続アカウントとしてシステム管理者(スーパーユーザー)を使用します。ログインシェルは、sh、bash、kshのいずれかとしてください。
SSHデーモンを自動起動に設定します。
SSHがインストールされていない環境では、SSHをインストールしてください。
インストール方法やデーモンの起動、設定方法は、SSHのマニュアルを参照してください。
注意
SSHに接続する側(クライアント)の定期的な生存確認の設定を行う場合、設定値は以下のようにしてください。
ClientAliveInterval: 10以上
ClientAliveCountMax: 2以上
設定したサーバに、SSHで接続し、システム管理者(スーパーユーザー)でログインできることを確認してください。