如果要通过 vCenter Server 访问 ESXi 主机,则通常会使用防火墙保护 vCenter Server

入口点上必须设置防火墙。防火墙可以位于客户端与 vCenter Server 之间,vCenter Server 与客户端都可以受到防火墙保护。

有关 TCP 和 UDP 端口的完整列表,请参见 vCenter Server 和 Platform Services Controller 所需的端口其他 vCenter Server TCP 和 UDP 端口

配置了 vCenter Server 的网络可以通过 vSphere Web Client、其他 UI 客户端或使用 vSphere API 的客户端接收通信。在正常操作期间,vCenter Server 会在指定的端口上侦听其受管主机和客户端的数据。vCenter Server 还假设其受管主机会在指定的端口上侦听 vCenter Server 的数据。如果任何这些元素之间有防火墙,必须确保防火墙中有打开的端口以支持数据传输。

您还可以在网络中的其他接入点上包括防火墙,具体取决于网络使用情况和客户端要求的安全级别。根据您的网络配置对应的安全风险选择防火墙位置。下面是常用的防火墙位置。

  • vSphere Web Client 或第三方网络管理客户端与 vCenter Server 之间。

  • Web 浏览器与 ESXi 主机之间(如果用户通过 Web 浏览器访问虚拟机)。

  • vSphere Web ClientESXi 主机之间(如果用户通过 vSphere Web Client 访问虚拟机)。此连接是 vSphere Web ClientvCenter Server 之间连接的补充,它需要一个不同的端口。

  • vCenter ServerESXi 主机之间。

  • 网络中的 ESXi 主机之间。尽管主机之间的流量通常被认为是可信的,但是,如果您关注计算机的安全漏洞,可在主机间添加防火墙。

    如果在 ESXi 主机之间添加防火墙并计划在这些主机间迁移虚拟机,请在将源主机与目标主机隔开的防火墙中打开端口。

  • ESXi 主机和网络存储(例如 NFS 或 iSCSI 存储)之间。这些端口并非专用于 VMware。根据网络规范进行配置。