配置网络防火墙时,请考虑正在部署的 vSAN 版本。
在集群上启用 vSAN 时,所有必需的端口都将添加到 ESXi 防火墙规则并自动进行配置。您无需手动打开任何防火墙端口或启用任何防火墙服务。您可以在 ESXi 主机安全配置文件(配置 > 安全配置文件)中查看用于入站和出站连接的打开端口。
vsanEncryption 防火墙规则
如果您的集群使用 vSAN 加密,请考虑主机与 KMS 服务器之间的通信。
vSAN 加密需要外部密钥管理服务器 (Key Management Server, KMS)。vCenter Server 将从 KMS 获取密钥 ID,并将其分发给 ESXi 主机。KMS 服务器和 ESXi 主机直接相互通信。KMS 服务器可能使用不同的端口号,因此 vsanEncryption 防火墙规则使您能够简化每个 vSAN 主机和 KMS 服务器之间的通信。这允许 vSAN 主机直接与 KMS 服务器上的任何端口(TCP 端口 0 到 65535)进行通信。
当主机与 KMS 服务器建立通信时,将执行以下操作。
- 将 KMS 服务器 IP 添加到 vsanEncryption 规则中,并启用防火墙规则。
- 在交换期间建立 vSAN 节点与 KMS 服务器之间的通信。
- 在 vSAN 节点和 KMS 服务器之间的通信结束后,将从 vsanEncryption 规则中移除该 IP 地址,并再次停用防火墙规则。