如果要通过 vCenter Server 访问 ESXi 主机,则通常会使用防火墙保护 vCenter Server。该防火墙可为网络提供基本保护。

防火墙可能位于客户端和 vCenter Server 之间。或者,根据您的部署情况,vCenter Server 和客户端可能均受防火墙保护。重点是确保在您认为的系统入口点有防火墙。

有关 TCP 和 UDP 端口的完整列表,包括用于 vSphere vMotion™ 和 vSphere Fault Tolerance 的端口,请参见TCP 和 UDP 端口

配置有 vCenter Server 的网络可以通过 vSphere Web Client 或第三方网络管理客户端接收通信,这些客户端使用 SDK 与主机相连接。在正常操作期间,vCenter Server 会在指定的端口上侦听其受管主机和客户端的数据。vCenter Server 还假设其受管主机会在指定的端口上侦听 vCenter Server 的数据。如果任何这些元素之间有防火墙,必须确保防火墙中有打开的端口以支持数据传输。

视您计划如何使用网络及各种设备所需安全级别而定,可能还需要在网络中的许多其他访问点设立防火墙。根据为网络配置确定的安全风险选择防火墙位置。下面列出了 ESXi 实施中常用的防火墙位置。

  • vSphere Web Client 或第三方网络管理客户端与 vCenter Server 之间。

  • Web 浏览器与 ESXi 主机之间(如果用户通过 Web 浏览器访问虚拟机)。

  • vSphere Web ClientESXi 主机之间(如果用户通过 vSphere Web Client 访问虚拟机)。此连接是 vSphere Web ClientvCenter Server 之间连接的补充,它需要一个不同的端口。

  • vCenter ServerESXi 主机之间。

  • 网络中的 ESXi 主机之间。尽管主机之间的流量通常被认为是可信的,但是,如果您关注计算机的安全漏洞,可在主机间添加防火墙。

    如果在 ESXi 主机间添加防火墙并打算在服务器间迁移虚拟机、执行克隆操作或使用 vMotion,还必须在用来将源主机和目标主机隔开的防火墙中打开端口,以便源主机与目标主机进行通信。

  • ESXi 主机和网络存储器(例如 NFS 或 iSCSI 存储器)之间。这些端口并非专用于 VMware,您可以根据网络规范进行配置。