ESXi 在管理接口和网络之间设有防火墙。该防火墙在默认情况下启用。

安装时,ESXi 防火墙配置为阻止除TCP 和 UDP 端口中列出的默认服务的流量之外的输入和输出流量。

注:

此防火墙还允许 Internet 控制消息协议 (ICMP) ping 及与 DHCP 和 DNS(仅 UDP)客户端的通信。

可以如下所示管理 ESXi 防火墙端口:

  • 通过每台主机的安全配置文件。

  • 从命令行或在脚本中使用 ESXCLI 命令修改防火墙规则。请参见ESXi 防火墙配置

  • 如果安全配置文件中不包括要打开的端口,则使用自定义 VIB。可以使用 VMware Lab 提供的 vibauthor 工具创建自定义 VIB。要安装自定义 VIB,必须将 ESXi 主机的接受级别改为 CommunitySupported。请参见 VMware 知识库文章 2007381

    注:

    如果请求 VMware 技术支持调查安装了 CommunitySupported VIB 的 ESXi 主机上的问题,VMware 支持可能会请求卸载此 CommunitySupported VIB 作为故障排除步骤,以确定该 VIB 是否与调查的问题相关。

可以在 vSphere Web Client 的主机“安全配置文件”部分中查看运行主机所需的受支持服务和管理代理。

注:

NFS 客户端规则集 (nfsClient) 的行为与其他规则集不同。启用 NFS 客户端规则集后,将在允许的 IP 地址列表中打开目标主机的所有出站 TCP 端口。有关详细信息,请参见NFS 客户端规则集行为