Cuando configure el firewall de red, tenga en cuenta la versión de vSAN que va a implementar.

Cuando se habilita vSAN en un clúster, se agregan todos los puertos necesarios a reglas de firewall de ESXi y se configuran automáticamente. No es necesario abrir ningún puerto de firewall ni habilitar manualmente los servicios de firewall. Puede ver los puertos abiertos para las conexiones entrantes y salientes en el perfil de seguridad del host ESXi (Configurar > Perfil de seguridad).

Regla de firewall vsanEncryption

Si el clúster utiliza el cifrado vSAN, tenga en cuenta la comunicación entre los hosts y el servidor KMS .

El cifrado vSAN requiere un servidor de administración de claves (Key Management Server, KMS) externo. vCenter Server obtiene los identificadores de las claves del KMS y las distribuye entre los hosts ESXi. Los servidores KMS y los hosts ESXi se comunican directamente entre sí. Los servidores KMS pueden utilizar números de puerto diferentes, por lo que la regla de firewall vsanEncryption permite simplificar la comunicación entre cada host vSAN y el servidor KMS. Esto permite que un host vSAN se comunique directamente con cualquier puerto de un servidor KMS (puerto TCP 0 a 65535).

Cuando un host establece comunicación con un servidor KMS, se producen las siguientes operaciones.
  • La dirección IP del servidor de KMS se agrega a la regla vsanEncryption y la regla de firewall se habilita.
  • La comunicación entre el nodo de vSAN y el servidor KMS se establece durante el intercambio.
  • Después de que la comunicación entre el nodo de vSAN y el servidor de KMS finaliza, la dirección IP se elimina de la regla vsanEncryptiony la regla de firewall se deshabilita de nuevo.
Los hosts de vSAN se pueden comunicar con varios hosts de KMS usando la misma regla.