ESXi inclui um firewall entre a interface de gerenciamento e a rede. O firewall está ativado por padrão. No momento da instalação, o firewall ESXi é configurado para bloquear o tráfego de entrada e saída, exceto o tráfego para os serviços padrão, como NFS.

Os serviços com suporte, incluindo NFS, são descritos em um arquivo de configuração do conjunto de regras no ESXi diretório de firewall /etc/vmware/firewall/. O arquivo contém regras de firewall e seus relacionamentos com portas e protocolos.

O comportamento do conjunto de regras do Cliente NFS (nfsClient) é diferente de outros conjuntos de regras.

Para obter mais informações sobre configurações de firewall, consulte a documentação vSphere Segurança.

Comportamento do firewall do cliente NFS

O conjunto de regras de firewall do Cliente NFS se comporta de maneira diferente de outros conjuntos de regras de firewall ESXi. ESXi define as configurações do Cliente NFS quando você monta ou desmonta um datastore NFS. O comportamento difere para diferentes versões do NFS.

Quando você adiciona, monta ou desmonta um datastore do NFS, o comportamento resultante depende da versão do NFS.

Comportamento do firewall do NFS v3

Quando você adiciona ou monta um datastore do NFS v3, o ESXi verifica o estado do conjunto de regras de firewall do Cliente NFS (nfsClient).

  • Se o conjunto de regras nfsClient for desativado, ESXi ativará o conjunto de regras e desativará a política Permitir Todos os Endereços IP definindo o sinalizador allowedAll como FALSE. O endereço IP do servidor NFS é adicionado à lista permitida de endereços IP de saída.
  • Se o conjunto de regras nfsClient estiver ativado, o estado do conjunto de regras e a política de endereço IP permitido não serão alterados. O endereço IP do servidor NFS é adicionado à lista permitida de endereços IP de saída.
Observação: Se você ativar manualmente o conjunto de regras nfsClient ou definir manualmente a política Permitir Todos os Endereços IP, antes ou depois de adicionar um repositório de dados NFS v3 ao sistema, suas configurações serão substituídas quando o último repositório de dados NFS v3 for desmontado. O conjunto de regras nfsClient é desativado quando todos os datastores NFS v3 são desmontados.

Quando você remove ou desmonta um datastore do NFS v3, o ESXi executa uma das seguintes ações.

  • Se nenhum dos repositórios de dados NFS v3 restantes estiver montado a partir do servidor do repositório de dados que está sendo desmontado, ESXi removerá o endereço IP do servidor da lista de endereços IP de saída.
  • Se nenhum datastores NFS v3 montado permanecer após a operação de desmontagem, o ESXi desativará o conjunto de regras de firewall nfsClient.

Comportamento do firewall do NFS v4.1

Quando você monta o primeiro datastore do NFS v4.1, ESXi ativa o conjunto de regras nfs41client e define seu sinalizador allowedAll como TRUE. Essa ação abre a porta 2049 para todos os endereços IP. A desmontagem de um datastore do NFS v4.1 não afeta o estado do firewall. Ou seja, a primeira montagem do NFS v4.1 abre a porta 2049 e essa porta permanece ativada, a menos que você a feche explicitamente.

Verificar portas de firewall para clientes NFS

Para habilitar o acesso ao armazenamento NFS, o ESXi abre automaticamente portas de firewall para os clientes NFS quando você monta um datastore NFS. Por motivos de solução de problemas, talvez seja necessário verificar se as portas estão abertas.

Procedimento

  1. No vSphere Client, navegue até o host ESXi.
  2. Clique na guia Configurar (Configure).
  3. Em Sistema (System), clique em Firewall e clique em Editar (Edit).
  4. Role para baixo até uma versão apropriada do NFS para garantir que a porta esteja aberta.