默认情况下,可以通过每个服务的防火墙访问所有 IP 地址。要限制流量,请更改每个服务,以便仅允许来自管理子网的流量。如果您的环境不使用某些服务,也可以取消选择这些服务。

要更新服务的允许的 IP 列表,可以使用 vSphere Client、ESXCLI 或 PowerCLI。默认情况下,服务允许所有 IP 地址。此任务介绍了如何使用 vSphere Client。有关使用 ESXCLI 的说明,请参见《ESXCLI 概念和示例》(网址为 https://code.vmware.com/)中有关管理防火墙的主题。

过程

  1. 使用 vSphere Client 登录 vCenter Server
  2. 浏览到 ESXi 主机。
  3. 单击配置,然后单击系统下的防火墙
    可以通过单击 入站出站,在入站和出站连接之间切换。
  4. 在“防火墙”部分中,单击编辑
  5. 从以下三个服务组中选择一个:未分组安全 Shell简单网络管理协议
  6. 要显示“允许的 IP 地址”部分,请展开一个服务。
  7. 在“允许的 IP 地址”部分中,取消选择允许从任何 IP 地址连接,然后输入允许连接到主机的网络的 IP 地址。
    使用逗号分隔 IP 地址。可以使用以下地址格式:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. 确保选择服务本身。
  9. 单击确定
  10. 验证服务的允许的 IP 地址列中的更改。