Wenn Sie die Netzwerkfirewall konfigurieren, berücksichtigen Sie, welche Version von vSAN Sie bereitstellen.

Wenn Sie vSAN auf einem Cluster aktivieren, werden alle erforderlichen Ports zu ESXi-Firewallregeln hinzugefügt und automatisch konfiguriert. Sie müssen keine Firewall-Ports öffnen oder keine Firewall-Dienste manuell aktivieren. Sie können offene Ports für eingehende und ausgehende Verbindungen im ESXi-Hostsicherheitsprofil (Konfigurieren > Sicherheitsprofil) anzeigen.

vsanEncryption-Firewallregel

Wenn Ihr Cluster die vSAN-Verschlüsselung verwendet, sollten Sie die Kommunikation zwischen Hosts und dem KMS-Server berücksichtigen.

Für die vSAN-Verschlüsselung ist ein externer Schlüsselverwaltungsserver (KMS) erforderlich. vCenter Server ruft Schlüssel-IDs vom KMS ab und verteilt diese an die ESXi-Hosts. KMS-Server und ESXi-Hosts kommunizieren direkt miteinander. KMS-Server verwenden möglicherweise unterschiedliche Portnummern, sodass Sie mit der vsanEncryption-Firewallregel die Kommunikation zwischen den einzelnen vSAN-Hosts und dem KMS-Server vereinfachen können. Auf diese Weise kann ein vSAN-Host direkt mit einem beliebigen Port auf einem KMS-Server kommunizieren (TCP-Port 0 bis 65535).

Wenn ein Host die Kommunikation mit einem KMS-Server herstellt, treten die folgenden Vorgänge auf.
  • Die KMS-Server-IP wird der vsanEncryption-Regel hinzugefügt, und die Firewallregel wird aktiviert.
  • Die Kommunikation zwischen dem vSAN-Knoten und dem KMS-Server wird während des Austauschs eingerichtet.
  • Nachdem die Kommunikation zwischen dem vSAN-Knoten und dem KMS-Server beendet ist, wird die IP-Adresse aus der Regel vsanEncryption entfernt und die Firewallregel wird wieder deaktiviert .
vSAN-Hosts können mit mehreren KMS-Hosts mit derselben Regel kommunizieren.