通过 vSphere Web Client 和 VMware Host Client,您可以打开和关闭每个服务的防火墙端口或允许来自选定 IP 地址的流量。
下表列出了为默认安装的服务配置的防火墙。如果在主机上安装其他 VIB,则可能还会配置其他服务和防火墙端口。这些信息主要用于 vSphere Web Client 中显示的服务,但是该表还包括其他某些端口。
| 端口 | 协议 | 服务 | 描述 |
|---|---|---|---|
| 5988 | TCP | CIM 服务器 | 适用于 CIM(公用信息模型)的服务器。 |
| 5989 | TCP | CIM 安全服务器 | 适用于 CIM 的安全服务器。 |
| 427 | TCP、UDP | CIM SLP | CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器。 |
| 546 | DHCPv6 | IPv6 的 DHCP 客户端。 | |
| 8301, 8302 | UDP | DVSSync | DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。 |
| 902 | TCP | NFC | 网络文件复制 (NFC) 可为 vSphere 组件提供文件类型感知 FTP 服务。默认情况下,ESXi 将 NFC 用于在数据存储之间复制和移动数据等操作。 |
| 12345, 23451 | UDP | vSAN 群集服务 | VMware vSAN 群集监控和成员资格 Directory Service。使用基于 UDP 的 IP 多播可建立群集成员并向所有群集成员分发 vSAN 元数据。如果禁用,则 vSAN 无法工作。 |
| 68 | UDP | DHCP 客户端 | IPv4 的 DHCP 客户端。 |
| 53 | UDP | DNS 客户端 | DNS 客户端。 |
| 8200, 8100, 8300 | TCP、UDP | Fault Tolerance | 主机之间的流量,用于 vSphere Fault Tolerance (FT)。 |
| 6999 | UDP | NSX 分布式逻辑路由器服务 | NSX 虚拟分布式路由器服务。如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。 此服务在此产品的早期版本中称为“NSX 分布式逻辑路由器”。 |
| 2233 | TCP | vSAN 传输 | vSAN 可靠数据报传输。使用 TCP 并用于 vSAN 存储 IO。如果禁用,则 vSAN 无法工作。 |
| 161 | UDP | SNMP 服务器 | 允许主机连接到 SNMP 服务器。 |
| 22 | TCP | SSH 服务器 | SSH 访问时为必需项。 |
| 8000 | TCP | vMotion | 使用 vMotion 迁移虚拟机时为必需项。ESXi 主机在端口 8000 上侦听远程 ESXi 主机中用于 vMotion 流量的 TCP 连接。 |
| 902, 443 | TCP | vSphere Web Client | 客户端连接 |
| 8080 | TCP | vsanvp | vSAN VASA 供应商提供程序。由 vCenter 中的存储管理服务 (SMS) 使用,以访问有关 vSAN 存储配置文件、功能和合规性的信息。如果禁用,则 vSAN 基于存储配置文件的管理 (SPBM) 无法工作。 |
| 80 | TCP | vSphere Web Access | “欢迎使用”页面,包含不同界面的下载链接。 |
| 5900-5964 | TCP | RFB 协议 | |
| 80, 9000 | TCP | vSphere Update Manager |
| 端口 | 协议 | 服务 | 描述 |
|---|---|---|---|
| 427 | TCP、UDP | CIM SLP | CIM 客户端使用服务位置协议版本 2 (SLPv2) 查找 CIM 服务器。 |
| 547 | TCP、UDP | DHCPv6 | IPv6 的 DHCP 客户端。 |
| 8301, 8302 | UDP | DVSSync | DVSSync 端口可用于同步已启用 VMware FT 记录/重放的主机之间的分布式虚拟端口的状况。只有运行主虚拟机或备份虚拟机的主机才须打开这些端口。未使用 VMware FT 的主机无需打开这些端口。 |
| 44046, 31031 | TCP | HBR | 用于 vSphere Replication 和 VMware Site Recovery Manager 的持续复制流量。 |
| 902 | TCP | NFC | 网络文件复制 (NFC) 可为 vSphere 组件提供文件类型感知 FTP 服务。默认情况下,ESXi 将 NFC 用于在数据存储之间复制和移动数据等操作。 |
| 9 | UDP | WOL | 由 Wake on LAN 使用。 |
| 12345 23451 | UDP | vSAN 群集服务 | 由 vSAN 使用的群集监控、成员资格和 Directory Service。 |
| 68 | UDP | DHCP 客户端 | DHCP 客户端。 |
| 53 | TCP、UDP | DNS 客户端 | DNS 客户端。 |
| 80, 8200, 8100, 8300 | TCP、UDP | Fault Tolerance | 支持 VMware Fault Tolerance。 |
| 3260 | TCP | 软件 iSCSI 客户端 | 支持软件 iSCSI。 |
| 6999 | UDP | NSX 分布式逻辑路由器服务 | 如果已安装 NSX VIB 且已创建 VDR 模块,则与此服务关联的防火墙端口将打开。如果没有 VDR 实例与主机关联,则该端口无需打开。 |
| 5671 | TCP | rabbitmqproxy | 在 ESXi 主机上运行的代理。此代理允许在虚拟机中运行的应用程序与在 vCenter 网络域中运行的 AMQP 代理通信。 虚拟机不必位于网络中,即无需网卡。确保出站连接 IP 地址至少包括正在使用或未来的代理。您可以稍后添加代理以进行纵向扩展。 |
| 2233 | TCP | vSAN 传输 | 用于 vSAN 节点之间的 RDT 流量(单播点对点通信)。 |
| 8000 | TCP | vMotion | 通过 vMotion 迁移虚拟机时为必需项。 |
| 902 | UDP | VMware vCenter Agent | vCenter Server 代理。 |
| 8080 | TCP | vsanvp | 用于 vSAN 供应商提供程序流量。 |
| 9080 | TCP | I/O 筛选器服务 | 用于 I/O 筛选器存储功能 |
| 端口 | 协议 | 服务 | 备注 |
|---|---|---|---|
| 5900-5964 | TCP | RFB 协议 | RFB 协议是一种用于远程访问图形用户界面的简单协议。 |
| 8889 | TCP | OpenWSMAN 守护进程 | Web 服务管理(WS 管理)是一种用于管理服务器、设备、应用程序和 Web 服务的 DMTF 开放式标准。 |
