通过 vSphere Web Client,您可以打开和关闭每个服务的防火墙端口或允许来自选定 IP 地址的流量。

下表列出了为通常所安装的服务配置的防火墙。如果在主机上安装其他 VIB,则可能还会配置其他服务和防火墙端口。

表 1. 入站防火墙连接

服务

端口

备注

CIM 服务器

5988 (TCP)

适用于 CIM(公用信息模型)的服务器。

CIM 安全服务器

5989 (TCP)

适用于 CIM 的安全服务器。

CIM SLP

427(TCP、UDP)

CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器。

DHCPv6

546(TCP、UDP)

IPv6 的 DHCP 客户端。

DVSSync

8301、8302 (UDP)

DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。

NFC

902 (TCP)

网络文件复制 (NFC) 可为 vSphere 组件提供文件类型感知 FTP 服务。默认情况下,ESXi 将 NFC 用于在数据存储之间复制和移动数据等操作。

Virtual SAN 群集服务

12345、23451 (UDP)

Virtual SAN 群集监控和成员资格目录服务。使用基于 UDP 的 IP 多播可建立群集成员并向所有群集成员分发 Virtual SAN 元数据。如果禁用,则 Virtual SAN 无法工作。

DHCP 客户端

68 (UDP)

IPv4 的 DHCP 客户端。

DNS 客户端

53 (UDP)

DNS 客户端。

Fault Tolerance

8200、8100、8300(TCP、UDP)

主机之间的流量,用于 vSphere Fault Tolerance (FT)。

NSX 分布式逻辑路由器服务

6999 (UDP)

NSX 虚拟分布式路由器服务。如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。

此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。

Virtual SAN 传输

2233 (TCP)

Virtual SAN 可靠数据报传输。使用 TCP,并用于 Virtual SAN 存储 IO。如果禁用,则 Virtual SAN 无法工作。

SNMP 服务器

161 (UDP)

允许主机连接到 SNMP 服务器。

SSH 服务器

22 (TCP)

SSH 访问时为必需项。

vMotion

8000 (TCP)

使用 vMotion 迁移虚拟机时为必需项。

vSphere Web Client

902、443 (TCP)

客户端连接

vsanvp

8080 (TCP)

VSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用,以访问有关 Virtual SAN 存储配置文件、功能和合规性的信息。如果禁用,则 Virtual SAN 基于存储配置文件的管理 (SPBM) 无法工作。

vSphere Web Access

80 (TCP)

“欢迎使用”页面,包含不同界面的下载链接。

表 2. 出站防火墙连接

服务

端口

备注

CIM SLP

427(TCP、UDP)

CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器。

DHCPv6

547(TCP、UDP)

IPv6 的 DHCP 客户端。

DVSSync

8301、8302 (UDP)

DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。

HBR

44046、31031 (TCP)

用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。

NFC

902 (TCP)

网络文件复制 (NFC) 可为 vSphere 组件提供文件类型感知 FTP 服务。默认情况下,ESXi 将 NFC 用于在数据存储之间复制和移动数据等操作。

WOL

9 (UDP)

由 Wake on LAN 使用。

Virtual SAN 群集服务

12345、23451 (UDP)

由 Virtual SAN 使用的群集监控、成员资格和目录服务。

DHCP 客户端

68 (UDP)

DHCP 客户端。

DNS 客户端

53(TCP、UDP)

DNS 客户端。

Fault Tolerance

80、8200、8100、8300(TCP、UDP)

支持 VMware Fault Tolerance。

软件 iSCSI 客户端

3260 (TCP)

支持软件 iSCSI。

NSX 分布式逻辑路由器服务

6999 (UDP)

如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。

rabbitmqproxy

5671 (TCP)

在 ESXi 主机上运行的代理,允许虚拟机内部运行的应用程序与 vCenter 网络域中运行的 AMQP 代理进行通信。虚拟机不必位于网络中,即无需网卡。代理将连接到 vCenter 网络域中的代理。因此,出站连接 IP 地址应至少包括当前正在使用的代理或未来的代理。如果客户要扩展,则可以添加代理。

Virtual SAN 传输

2233 (TCP)

用于 Virtual SAN 节点之间的 RDT 流量(单播点对点通信)。

vMotion

8000 (TCP)

使用 vMotion 迁移虚拟机时为必需项。

VMware vCenter Agent

902 (UDP)

vCenter Server 代理。

vsanvp

8080 (TCP)

用于 Virtual SAN 供应商提供程序流量。