从 ESX/ESXi 4.x 迁移或升级到 ESXi 5.x 会导致主机防火墙配置发生一些变化。

当从 ESX 4.x 迁移到 ESXi 5.x 时,ESX 4.x 规则集列表将替换为 ESXi 5.x 中的新规则集列表。会保留 /etc/vmware/esx.conf 文件中的以下配置:

  • 现有启用/禁用的状态。

  • esxcfg-firewall 添加的 allowedip。

迁移后,不会保留用户添加的规则集文件及在 ESX 4.x. 中创建的自定义防火墙规则。迁移之后,在首次引导时,对于这些不包含 ESX 4.x /etc/vmware/esx.conf 文件中的条目的规则集,ESXi 5.x 防火墙会加载默认启用的状态。

迁移到 ESXi 5.x 后,仅当 ESX 4.x /etc/vmware/esx.conf 文件中默认策略的 blockIncoming 和 blockOutgoing 值均为 false 时,ESXi 5.x 上的默认块策略才会设置为 false(默认情况下传递所有流量)。否则,默认策略将拒绝所有流量。

升级到 ESXi 5.x 后,通过使用 ESX/ESXi 4.1 esxcfg-firewall 命令打开的自定义端口不会保持打开状态。通过升级,配置条目会传送到 esx.conf 文件,但对应的端口未打开。有关 ESXi 防火墙配置的信息,请参见 vSphere 安全性文档。

重要:

ESXi 5.x 中的 ESXi 防火墙不允许按网络筛选 vMotion 流量。因此,必须在外部防火墙上安装规则,才能确保 vMotion 套接字没有入站连接。