Ao configurar o firewall de rede, considere qual versão do vSAN você está implantando.

Quando você ativa o vSAN em um cluster, todas as portas necessárias são adicionadas às ESXiregras de firewall e configuradas automaticamente. Você não precisa abrir nenhuma porta de firewall ou ativar quaisquer serviços de firewall manualmente. Você pode visualizar as portas abertas para conexões de entrada e saída no ESXi perfil de segurança do host (Configurar > Perfil de segurança (Configure > Security Profile)).

Regra de firewall do vsanEncryption (vsanEncryption Firewall Rule)

Se o seu cluster usar a criptografia vSAN, considere a comunicação entre os hosts e o servidor KMS.

A criptografia vSAN requer um KMS (Key Management Server) externo. vCenter Server obtém as IDs de chave do KMS e as distribui para os hosts ESXi. Os servidores KMS e os hosts ESXi se comunicam diretamente entre si . Os servidores KMS podem usar números de porta diferentes, portanto, a regra de firewall vsanEncryption permite que você simplifique a comunicação entre cada vSAN host e o servidor KMS. Isso permite que um host vSAN se comunique diretamente com qualquer porta em um servidor KMS (porta TCP 0 a 65535).

Quando um host estabelece comunicação com um servidor KMS, ocorrem as seguintes operações.
  • O IP do servidor KMS é adicionado à regra vsanEncryption e a regra de firewall é habilitada.
  • A comunicação entre o nó vSAN e o servidor KMS é estabelecida durante a troca.
  • vSANApós o término da comunicação entre o nó e o servidor KMS , o endereço IP é removido da regra vsanEncryption e o firewall A regra é desativada novamente.
Os hosts vSAN podem se comunicar com vários hosts KMS usando a mesma regra.