ESXi 在管理接口和网络之间设有防火墙。该防火墙在默认情况下启用。安装时,ESXi 防火墙配置为阻止除 NFS 等默认服务的流量之外的入站和出站流量。

ESXi 防火墙目录 /etc/vmware/firewall/ 中的规则集配置文件中对受支持的服务(包括 NFS)进行了说明。该文件包含防火墙规则以及它们与端口和协议的关系。

NFS 客户端规则集 (nfsClient) 的行为与其他规则集不同。

有关防火墙配置的详细信息,请参见《《vSphere 安全性》》文档。

NFS 客户端防火墙行为

NFS 客户端防火墙规则集的行为方式与其他 ESXi 防火墙规则集不同。挂载或卸载 NFS 数据存储时,ESXi 将配置 NFS 客户端设置。对于不同版本的 NFS,行为有所不同。

添加、挂载或卸载 NFS 数据存储时,产生的行为取决于 NFS 版本。

NFS v3 防火墙行为

添加或挂载 NFS v3 数据存储时,ESXi 将检查 NFS 客户端 (nfsClient) 防火墙规则集的状态。

  • 如果停用了 nfsClient 规则集,则 ESXi 将激活规则集,并通过将 allowedAll 标记设置为 FALSE 来停用“允许所有 IP 地址”策略。NFS 服务器的 IP 地址将会添加到允许的出站 IP 地址的列表中。
  • 如果激活了 nfsClient 规则集,则规则集状态和允许的 IP 地址策略将不会更改。NFS 服务器的 IP 地址将会添加到允许的出站 IP 地址的列表中。
注: 如果手动激活 nfsClient 规则集或手动设置“允许所有 IP 地址”策略,则将 NFS v3 数据存储添加到系统之前或之后,卸载最新 NFS v3 数据存储时将替代您的设置。卸载所有 NFS v3 数据存储时,将停用 nfsClient 规则集。

移除或卸载 NFS v3 数据存储时,ESXi 会执行以下操作之一。

  • 如果未从已卸载数据存储的服务器挂载任何剩余的 NFS v3 数据存储,则 ESXi 将从出站 IP 地址列表中移除该服务器的 IP 地址。
  • 如果执行卸载操作后没有剩余任何挂载的 NFS v3 数据存储,则 ESXi 将停用 nfsClient 防火墙规则集。

NFS v4.1 防火墙行为

挂载第一个 NFS v4.1 数据存储时,ESXi 将激活 nfs41client 规则集并将其 allowedAll 标记设置为 TRUE。此操作将打开所有 IP 地址的端口 2049。卸载 NFS v4.1 数据存储不会影响防火墙状态。也就是说,第一个 NFS v4.1 挂载将打开端口 2049,除非明确关闭该端口,否则该端口将保持激活状态。

验证 NFS 客户端的防火墙端口

要启用对 NFS 存储的访问,则在挂载 NFS 数据存储时,ESXi 将自动打开 NFS 客户端的防火墙端口。出于故障排除原因,您可能需要验证相关端口是否已打开。

过程

  1. vSphere Client 中,导航到 ESXi 主机。
  2. 单击配置选项卡。
  3. 系统下,单击防火墙,然后单击编辑
  4. 向下滚动到相应版本的 NFS 以确保端口已打开。