通过 vSphere Web ClientVMware Host Client,您可以打开和关闭每个服务的防火墙端口或允许来自选定 IP 地址的流量。

下表列出了为默认安装的服务配置的防火墙。如果在主机上安装其他 VIB,则可能还会配置其他服务和防火墙端口。这些信息主要用于 vSphere Web Client 中显示的服务,但是该表还包括其他某些端口。

表 1. 入站防火墙连接

端口

协议

服务

描述

5988

TCP

CIM 服务器

适用于 CIM(公用信息模型)的服务器。

5989

TCP

CIM 安全服务器

适用于 CIM 的安全服务器。

427

TCP、UDP

CIM SLP

CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器。

546

DHCPv6

IPv6 的 DHCP 客户端。

8301, 8302

UDP

DVSSync

DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。

902

TCP

NFC

网络文件复制 (NFC) 可为 vSphere 组件提供文件类型感知 FTP 服务。默认情况下,ESXi 将 NFC 用于在数据存储之间复制和移动数据等操作。

12345, 23451

UDP

vSAN 群集服务

VMware vSAN 群集监控和成员资格 Directory Service。使用基于 UDP 的 IP 多播可建立群集成员并向所有群集成员分发 vSAN 元数据。如果禁用,则 vSAN 无法工作。

68

UDP

DHCP 客户端

IPv4 的 DHCP 客户端。

53

UDP

DNS 客户端

DNS 客户端。

8200, 8100, 8300

TCP、UDP

Fault Tolerance

主机之间的流量,用于 vSphere Fault Tolerance (FT)。

6999

UDP

NSX 分布式逻辑路由器服务

NSX 虚拟分布式路由器服务。 如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。

此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。

2233

TCP

vSAN 传输

vSAN 可靠数据报传输。使用 TCP 并用于 vSAN 存储 IO。如果禁用,则 vSAN 无法工作。

161

UDP

SNMP 服务器

允许主机连接到 SNMP 服务器。

22

TCP

SSH 服务器

SSH 访问时为必需项。

8000

TCP

vMotion

使用 vMotion 迁移虚拟机时为必需项。ESXi 主机在端口 8000 上侦听远程 ESXi 主机中用于 vMotion 流量的 TCP 连接。

902, 443

TCP

vSphere Web Client

客户端连接

8080

TCP

vsanvp

vSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用,以访问有关 vSAN 存储配置文件、功能和合规性的信息。如果禁用,则 vSAN 基于存储配置文件的管理 (SPBM) 无法工作。

80

TCP

vSphere Web Access

“欢迎使用”页面,包含不同界面的下载链接。

5900-5964

TCP

RFB 协议

80, 9000

TCP

vSphere Update Manager

表 2. 出站防火墙连接

端口

协议

服务

描述

427

TCP、UDP

CIM SLP

CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器。

547

TCP、UDP

DHCPv6

IPv6 的 DHCP 客户端。

8301, 8302

UDP

DVSSync

DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。

44046, 31031

TCP

HBR

用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。

902

TCP

NFC

网络文件复制 (NFC) 可为 vSphere 组件提供文件类型感知 FTP 服务。默认情况下,ESXi 将 NFC 用于在数据存储之间复制和移动数据等操作。

9

UDP

WOL

由 Wake on LAN 使用。

12345 23451

UDP

vSAN 群集服务

vSAN 使用的群集监控、成员资格和 Directory Service。

68

UDP

DHCP 客户端

DHCP 客户端。

53

TCP、UDP

DNS 客户端

DNS 客户端。

80, 8200, 8100, 8300

TCP、UDP

Fault Tolerance

支持 VMware Fault Tolerance。

3260

TCP

软件 iSCSI 客户端

支持软件 iSCSI。

6999

UDP

NSX 分布式逻辑路由器服务

如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。

5671

TCP

rabbitmqproxy

ESXi 主机上运行的代理。此代理允许在虚拟机中运行的应用程序与在 vCenter 网络域中运行的 AMQP 代理通信。

虚拟机不必位于网络中,即无需网卡。确保出站连接 IP 地址至少包括正在使用或未来的代理。您可以稍后添加代理以进行纵向扩展。

2233

TCP

vSAN 传输

用于 vSAN 节点之间的 RDT 流量(单播点对点通信)。

8000

TCP

vMotion

通过 vMotion 迁移虚拟机时为必需项。

902

UDP

VMware vCenter Agent

vCenter Server 代理。

8080

TCP

vsanvp

用于 vSAN 供应商提供程序流量。

9080

TCP

I/O 筛选器服务

用于 I/O 筛选器存储功能

表 3. 默认情况下 UI 中不显示的服务的防火墙端口

端口

协议

服务

备注

5900-5964

TCP

RFB 协议

RFB 协议是一种用于远程访问图形用户界面的简单协议。

8889

TCP

OpenWSMAN 守护进程

Web 服务管理(WS 管理)是一种用于管理服务器、设备、应用程序和 Web 服务的 DMTF 开放式标准。