community.vmware.vmware_host_firewall_manager 模块 – 管理 ESXi 主机的防火墙配置

注意

此模块是 community.vmware 集合 (版本 5.2.0) 的一部分。

如果您使用的是 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.vmware

要在 playbook 中使用它,请指定:community.vmware.vmware_host_firewall_manager

概要

  • 此模块可用于管理 ESXi 主机的防火墙配置,前提是已提供 ESXi 主机名或集群名称。

参数

参数

注释

cluster_name

字符串

集群名称。

防火墙设置将应用于给定集群中的每个 ESXi 主机系统。

如果未指定 esxi_hostname,则此参数是必需的。

esxi_hostname

字符串

ESXi 主机名。

防火墙设置将应用于此 ESXi 主机系统。

如果未指定 cluster_name,则此参数是必需的。

hostname

字符串

vSphere vCenter 或 ESXi 服务器的主机名或 IP 地址。

如果任务中未指定此值,则将改用环境变量 VMWARE_HOST 的值。

password

别名:pass,pwd

字符串

vSphere vCenter 或 ESXi 服务器的密码。

如果任务中未指定此值,则将改用环境变量 VMWARE_PASSWORD 的值。

port

整数

vSphere vCenter 或 ESXi 服务器的端口号。

如果任务中未指定此值,则将改用环境变量 VMWARE_PORT 的值。

默认值: 443

proxy_host

字符串

将接收所有 HTTPS 请求并转发它们的代理的地址。

格式为主机名或 IP。

如果任务中未指定此值,则将改用环境变量 VMWARE_PROXY_HOST 的值。

proxy_port

整数

将接收所有 HTTPS 请求并转发它们的 HTTP 代理的端口。

如果任务中未指定此值,则将改用环境变量 VMWARE_PROXY_PORT 的值。

rules

列表 / 元素=字典

需要管理的规则集列表。

列表的每个成员都是规则集名称以及要设置规则的状态。

规则名称和规则状态都是必需的参数。

还可以指定其他 IP 和网络

请参阅示例以获取更多信息。

默认值: []

allowed_hosts

字典

定义此规则集允许的主机。

all_ip

布尔值 / 必需

是否应允许所有主机。

选项

  • false

  • true

ip_address

列表 / 元素=字符串

允许的 IP 地址列表。

默认值: []

ip_network

列表 / 元素=字符串

允许的 IP 网络列表。

默认值: []

enabled

布尔值 / 必需

规则集是否启用。

选项

  • false

  • true

name

字符串 / 必需

规则集名称。

username

别名:admin,user

字符串

vSphere vCenter 或 ESXi 服务器的用户名。

如果任务中未指定此值,则将改用环境变量 VMWARE_USER 的值。

validate_certs

布尔值

允许在 SSL 证书无效时连接。当证书不受信任时,将其设置为 false

如果任务中未指定此值,则将改用环境变量 VMWARE_VALIDATE_CERTS 的值。

选项

  • false

  • true ← (默认)

备注

注意

  • 所有模块都需要API写入权限,因此不受免费ESXi许可证支持。

  • 所有变量和VMware对象名称都区分大小写。

示例

- name: Enable vvold rule set for all ESXi Host in given Cluster
  community.vmware.vmware_host_firewall_manager:
    hostname: '{{ vcenter_hostname }}'
    username: '{{ vcenter_username }}'
    password: '{{ vcenter_password }}'
    cluster_name: cluster_name
    rules:
        - name: vvold
          enabled: true
          allowed_hosts:
            all_ip: true
  delegate_to: localhost

- name: Enable vvold rule set for an ESXi Host
  community.vmware.vmware_host_firewall_manager:
    hostname: '{{ vcenter_hostname }}'
    username: '{{ vcenter_username }}'
    password: '{{ vcenter_password }}'
    esxi_hostname: '{{ esxi_hostname }}'
    rules:
        - name: vvold
          enabled: true
          allowed_hosts:
            all_ip: true
  delegate_to: localhost

- name: Manage multiple rule set for an ESXi Host
  community.vmware.vmware_host_firewall_manager:
    hostname: '{{ vcenter_hostname }}'
    username: '{{ vcenter_username }}'
    password: '{{ vcenter_password }}'
    esxi_hostname: '{{ esxi_hostname }}'
    rules:
        - name: vvold
          enabled: true
          allowed_hosts:
            all_ip: true
        - name: CIMHttpServer
          enabled: false
  delegate_to: localhost

- name: Manage IP and network based firewall permissions for ESXi
  community.vmware.vmware_host_firewall_manager:
    hostname: '{{ vcenter_hostname }}'
    username: '{{ vcenter_username }}'
    password: '{{ vcenter_password }}'
    esxi_hostname: '{{ esxi_hostname }}'
    rules:
        - name: gdbserver
          enabled: true
          allowed_hosts:
            all_ip: false
            ip_address:
              - 192.168.20.10
              - 192.168.20.11
        - name: CIMHttpServer
          enabled: true
          allowed_hosts:
            all_ip: false
            ip_network:
              - 192.168.100.0/24
        - name: remoteSerialPort
          enabled: true
          allowed_hosts:
            all_ip: false
            ip_address:
              - 192.168.100.11
            ip_network:
              - 192.168.200.0/24
  delegate_to: localhost

返回值

常见的返回值已在此处记录,以下是此模块特有的字段

描述

rule_set_state

字典

字典,主机名作为键,防火墙规则集事实作为值的字典

返回:成功

示例: {"rule_set_state": {"localhost.localdomain": {"CIMHttpServer": {"allowed_hosts": {"current_allowed_all": true, "current_allowed_ip": [], "current_allowed_networks": [], "desired_allowed_all": true, "desired_allowed_ip": [], "desired_allowed_networks": [], "previous_allowed_all": true, "previous_allowed_ip": [], "previous_allowed_networks": []}, "current_state": false, "desired_state": false, "previous_state": true}, "remoteSerialPort": {"allowed_hosts": {"current_allowed_all": false, "current_allowed_ip": ["192.168.100.11"], "current_allowed_networks": ["192.168.200.0/24"], "desired_allowed_all": false, "desired_allowed_ip": ["192.168.100.11"], "desired_allowed_networks": ["192.168.200.0/24"], "previous_allowed_all": true, "previous_allowed_ip": [], "previous_allowed_networks": []}, "current_state": true, "desired_state": true, "previous_state": true}}}}

作者

  • Abhijeet Kasurde (@Akasurde)

  • Aaron Longchamps (@alongchamps)