一些常用的防火墙规则配置包括开放从 Internet 访问 vSphere Client,允许通过管理 VPN 通道访问 vCenter Server,以及允许远程控制台访问。
常用防火墙规则
下表列出了常用防火墙规则的服务、源和目标设置。
| 用例 | 服务 | 源 | 目标 |
|---|---|---|---|
| 允许从 Internet 访问 vCenter Server。 用于常规 vSphere Client 访问以及监控 vCenter Server |
HTTPS | 来自内部部署数据中心的 IP 地址或 CIDR 块
重要说明:
虽然可以在防火墙规则中选择任意作为源地址,但在目标为 vCenter 时,不能使用任意或通配符 0.0.0.0/0 作为源地址。如果这样做,可能会使 vCenter Server 遭受攻击,并可能导致您的 SDDC 受到威胁。 |
vCenter |
| 允许通过 VPN 通道访问 vCenter Server。 对管理网关 VPN、混合链接模式和内容库为必需。 |
HTTPS | 来自内部部署数据中心的 IP 地址或 CIDR 块 | vCenter |
| 允许从云 vCenter Server 访问内部部署服务,如 Active Directory、Platform Services Controller 和内容库。 | 任意 | vCenter | 来自内部部署数据中心的 IP 地址或 CIDR 块。 |
| 涉及网络文件复制流量的置备操作,如冷迁移、从内部部署虚拟机克隆、快照迁移、复制等。 | 置备 | IP 地址或 CIDR 块(公用或从通过 VPN 通道连接的内部数据中心获得) | ESXi 管理 |
| VMRC 远程控制台访问 对 VMware Aria Automation 为必需 |
远程控制台 | IP 地址或 CIDR 块(公用或从通过 VPN 通道连接的内部数据中心获得) | ESXi 管理 |
| 通过 VPN 的 vMotion 流量 | 任意 | ESXi 管理 | 来自内部部署数据中心的 IP 地址或 CIDR 块 |
