Wenn Sie über vCenter Server auf ESXi-Hosts zugreifen, schützen Sie vCenter Server normalerweise durch eine Firewall. Diese Firewall bietet einen Grundschutz für das Netzwerk.

Zwischen den Clients und vCenter Server kann sich eine Firewall befinden. Abhängig von Ihrer Bereitstellung können sich vCenter Server und die Clients auch hinter einer Firewall befinden. Wichtig ist es sicherzustellen, dass eine Firewall an den Punkten vorhanden ist, die Sie als Eingangspunkte in das System betrachten.

Einer umfassende Liste der TCP- und UDP-Ports, darunter die Ports für vSphere vMotion™ und vSphere Fault Tolerance finden Sie unter vCenter Server TCP- und UDP-Ports.

Netzwerke, die über vCenter Server konfiguriert werden, können Daten über den vSphere Web Client oder Netzwerkverwaltungs-Clients von Drittanbietern erhalten, die über das SDK eine Schnittstelle zum Host einrichten. Während des normalen Betriebs wartet vCenter Server an bestimmten Ports auf Daten von verwalteten Hosts und Clients. vCenter Server geht auch davon aus, dass die verwalteten Hosts an bestimmten Ports auf Daten von vCenter Server warten. Wenn sich zwischen diesen Elementen eine Firewall befindet, muss sichergestellt werden, dass Firewall-Ports für den Datenverkehr geöffnet wurden.

Firewalls können auch an vielen anderen Zugriffspunkten im Netzwerk installiert werden. Dies hängt von der Sicherheitsebene, die für die verschiedenen Geräte benötigt wird, sowie davon ab, wie das Netzwerk genutzt werden soll. Bestimmen Sie die Installationspunkte für Ihre Firewalls anhand der Sicherheitsrisiken, die eine Analyse der Netzwerkkonfiguration ergeben hat. Die folgende Liste führt verschiedene Installationspunkte für Firewalls auf, die in ESXi-Implementierungen häufig auftreten.

  • Zwischen dem vSphere Web Client oder einem Netzwerkverwaltungs-Client eines Drittanbieters und vCenter Server.

  • Wenn die Benutzer über einen Webbrowser auf virtuelle Maschinen zugreifen, zwischen dem Webbrowser und dem ESXi-Host.

  • Wenn die Benutzer über den vSphere Web Client auf virtuelle Maschinen zugreifen, zwischen dem vSphere Web Client und dem ESXi-Host. Diese Verbindung ist ein Zusatz zu der Verbindung zwischen dem vSphere Web Client und vCenter Server und benötigt einen anderen Port.

  • Zwischen vCenter Server und den ESXi-Hosts.

  • Zwischen den ESXi-Hosts in Ihrem Netzwerk. Zwar ist der Datenverkehr zwischen Hosts normalerweise vertrauenswürdig, aber Sie können bei befürchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den Hosts installieren.

    Wenn Sie Firewalls zwischen ESXi-Hosts hinzufügen und virtuelle Maschinen auf einen anderen Server verschieben, klonen oder vMotion verwenden möchten, müssen Sie auch Ports in allen Firewalls zwischen Quell- und Zielhost öffnen, damit Quelle und Ziel miteinander kommunizieren können.

  • Zwischen ESXi-Hosts und Netzwerkspeicher, z. B. NFS- oder iSCSI-Speicher. Diese Ports sind nicht VMware-spezifisch und werden anhand der Spezifikationen für das jeweilige Netzwerk konfiguriert.