Wenn Sie die Netzwerkfirewall konfigurieren, berücksichtigen Sie, welche Version von vSAN Sie bereitstellen.
Wenn Sie vSAN auf einem Cluster aktivieren, werden alle erforderlichen Ports zu ESXi-Firewallregeln hinzugefügt und automatisch konfiguriert. Sie müssen keine Firewall-Ports öffnen oder keine Firewall-Dienste manuell aktivieren. Sie können offene Ports für eingehende und ausgehende Verbindungen im ESXi-Hostsicherheitsprofil (Konfigurieren > Sicherheitsprofil) anzeigen.
vsanEncryption-Firewallregel
Wenn Ihr Cluster die vSAN-Verschlüsselung verwendet, sollten Sie die Kommunikation zwischen Hosts und dem KMS-Server berücksichtigen.
Für die vSAN-Verschlüsselung ist ein externer Schlüsselverwaltungsserver (KMS) erforderlich. vCenter Server ruft Schlüssel-IDs vom KMS ab und verteilt diese an die ESXi-Hosts. KMS-Server und ESXi-Hosts kommunizieren direkt miteinander. KMS-Server verwenden möglicherweise unterschiedliche Portnummern, sodass Sie mit der vsanEncryption-Firewallregel die Kommunikation zwischen den einzelnen vSAN-Hosts und dem KMS-Server vereinfachen können. Auf diese Weise kann ein vSAN-Host direkt mit einem beliebigen Port auf einem KMS-Server kommunizieren (TCP-Port 0 bis 65535).
- Die KMS-Server-IP wird der vsanEncryption-Regel hinzugefügt, und die Firewallregel wird aktiviert.
- Die Kommunikation zwischen dem vSAN-Knoten und dem KMS-Server wird während des Austauschs eingerichtet.
- Nachdem die Kommunikation zwischen dem vSAN-Knoten und dem KMS-Server beendet ist, wird die IP-Adresse aus der Regel vsanEncryption entfernt und die Firewallregel wird wieder deaktiviert .
