Добавление правила в сетевой экран VMware ESXi.

В инсталляциях виртуальной инфраструктуры VMware vSphere может оказаться оправданным сделать один из серверов VMware ESXi сервером NTP, чтобы с ним синхронизировали свое время другие хосты.

Интересно, что немногие знают о том, что NTP-клиент сервера VMware ESXi 5.x (NTP-демон /sbin/ntpd) работает по-умолчанию не только как клиент, но и отдает время по запросу другим серверам как NTP-сервер. Поэтому достаточно лишь указать адрес хоста ESXi в качестве целевого хоста для синхронизации времени — и все будет работать.

Загвоздка тут одна — по умолчанию firewall сервера ESXi блокирует входящие NTP-запросы по протоколу UDP на порт 123. Чтобы это исправить, нужно добавить собственное правило в сетевой экран. К сожалению, в Firewall GUI этой возможности не предусмотрено, поэтому придется смотреть в конфигурационный файл.

Для начала выведем список всех активных правил firewall ESXi командой:

esxcli network firewall ruleset list

Создадим файл ntpd.xml с конфигурацией сервиса NTP со следующим содержимым:

NTP Daemon

inbound
udp dst 123
false
false
Далее кладем этот файл в папку на хосте ESXi /etc/vmware/firewall/ntpd.xml и выполняем команду:

esxcli network firewall refresh

После этого мы увидим новое правило в конфигурации сетевого экрана ESXi (в командной строке его можно проверить командой list, приведенной выше):
к сожалению, пользовательская конфигурация firewall ESXi не сохраняется при перезагрузке хоста, о чем написано в KB 2007381. Поэтому можно просто положить ntpd.xml на общее хранилище и добавить в /etc/rc.local команду по копированию ntpd.xml в нужную папку хоста и команду обновления правил firewall-ла. Однако это ненадежно, поскольку зависит от доступности общего хранилища.

Поэтому, все-таки, лучше сделать это правило постоянным с помощью процедуры, описанной у автора, заметка которого и стала основой этой статьи. Для этого нужно будет создать и установить VIB-пакет (как сделать это для любого случая описано в той же KB 2007381).

Ну а используя готовый пакет от автора, можно установить созданный им VIB для добавления правила в firewall для NTP-сервера:

esxcli software acceptance set —level CommunitySupported
esxcli software vib install -v http://files.v-front.de/fwenable-ntpd-1.2.0.x86_64.vib

Это работает как для ESXi 5.0/5.1, так и для ESXi 5.5.