Firewalls in Konfigurationen mit vCenter Server

Wenn Sie über vCenter Server auf ESXi-Hosts zugreifen, schützen Sie vCenter Server normalerweise durch eine Firewall.

Firewalls müssen an den Zugangspunkten vorhanden sind. Eine Firewall kann zwischen den Clients und vCenter Server vorhanden sein, oder vCenter Server und die Clients können sich beide hinter einer Firewall befinden.

Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.

Mit vCenter Server konfigurierte Netzwerke können über den vSphere Client, über andere UI-Clients oder Clients, die die vSphere API verwenden, Daten erhalten. Während des normalen Betriebs wartet vCenter Server an bestimmten Ports auf Daten von verwalteten Hosts und Clients. vCenter Server geht auch davon aus, dass die verwalteten Hosts an bestimmten Ports auf Daten von vCenter Server warten. Wenn sich zwischen diesen Elementen eine Firewall befindet, muss sichergestellt werden, dass Firewall-Ports für den Datenverkehr geöffnet wurden.

Firewalls können je nach Netzwerkauslastung und der für Clients erforderlichen Sicherheitsstufe auch an anderen Zugriffspunkten im Netzwerk hinzugefügt werden. Bestimmen Sie die Installationspunkte für Ihre Firewalls anhand der Sicherheitsrisiken für Ihre Netzwerkkonfiguration. Die folgenden Firewall-Installationspunkte werden häufig verwendet.

Zwischen dem vSphere Client oder einem Netzwerkverwaltungs-Client eines Drittanbieters und vCenter Server.
Wenn die Benutzer über einen Webbrowser auf virtuelle Maschinen zugreifen, zwischen dem Webbrowser und dem ESXi-Host.
Wenn die Benutzer über den vSphere Client auf virtuelle Maschinen zugreifen, zwischen dem vSphere Client und dem ESXi-Host. Diese Verbindung ist ein Zusatz zu der Verbindung zwischen dem vSphere Client und vCenter Server und benötigt einen anderen Port.
Zwischen vCenter Server und den ESXi-Hosts.
Zwischen den ESXi-Hosts in Ihrem Netzwerk. Zwar ist der Datenverkehr zwischen Hosts normalerweise vertrauenswürdig, aber Sie können bei befürchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den Hosts installieren.
Wenn Sie Firewalls zwischen ESXi-Hosts hinzufügen und die Migration virtueller Maschinen zwischen diesen Hosts planen, öffnen Sie Ports in einer beliebigen Firewall, die den Quellhost von den Zielhosts trennt.
Zwischen ESXi-Hosts und Netzwerkspeicher, z. B. NFS- oder iSCSI-Speicher. Diese Ports sind nicht VMware-spezifisch. Konfigurieren Sie sie anhand der Spezifikationen für das jeweilige Netzwerk.