Firewalls para configuraciones con vCenter Server

Si se accede a los hosts ESXi a través de vCenter Server, generalmente se protege vCenter Server con un firewall.

Los firewalls deben estar en el punto de entrada. El firewall puede estar entre los clientes y vCenter Server, o bien tanto vCenter Server como los clientes pueden estar detrás de un firewall.

Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.

Las redes configuradas con vCenter Server pueden recibir comunicaciones a través de vSphere Client, otros clientes de UI o clientes que utilizan vSphere API. Durante un funcionamiento normal, vCenter Server escucha los datos de sus hosts y clientes administrados en los puertos designados. vCenter Server también asume que sus hosts administrados escuchan datos de vCenter Server en los puertos designados. Si hay un firewall entre cualquiera de estos elementos, el firewall debe tener puertos abiertos para admitir la transferencia de datos.

También se pueden incluir firewalls en otros puntos de acceso de la red, según el uso de la red y el nivel de seguridad que requieren los clientes. Seleccione las ubicaciones de los firewalls según los riesgos de seguridad de la configuración de red. Las siguientes ubicaciones de firewall se utilizan comúnmente.

Entre vSphere Client o un cliente de administración de redes externo y vCenter Server.
Si sus usuarios acceden a las máquinas virtuales a través de un explorador web, entre el explorador web y el host ESXi.
Si sus usuarios acceden a las máquinas virtuales a través de vSphere Client, entre vSphere Client y el host ESXi. Esta conexión es adicional a la conexión entre vSphere Client y vCenter Server, y requiere un puerto diferente.
Entre vCenter Server y los hosts ESXi.
Entre los hosts ESXi de la red. A pesar de que el tráfico entre hosts generalmente se considera confiable, puede agregar firewalls entre ellos si sospecha que hay infracciones de seguridad entre una máquina y la otra.
Si agrega firewalls entre hosts ESXi y tiene pensado migrar las máquinas virtuales entre ellos, abra los puertos en cualquier firewall que divida el host de origen de los host de destino.
Entre los hosts ESXi y el almacenamiento de red, como el almacenamiento NFS o de iSCSI. Estos puertos no son exclusivos de VMware. Configúrelos de acuerdo con las especificaciones de la red.