Si vous accédez aux hôtes ESXi par l'intermédiaire de vCenter Server, vous protégez généralement vCenter Server à l'aide d'un pare-feu. Ce pare-feu fournit une protection de base à votre réseau.

Il peut y avoir un pare-feu entre les clients et vCenter Server. En fonction de votre déploiement, il se peut aussi que vCenter Server et les clients se trouvent tous les deux derrière le pare-feu. L'important est de s'assurer qu'un pare-feu est présent sur ce que vous considérez être un point d'entrée pour le système.

Pour obtenir la liste complète des ports TCP et UDP, y compris ceux de vSphere vMotion™ et vSphere Fault Tolerance, consultez Ports TCP et UDP.

Les réseaux configurés avec vCenter Server peuvent recevoir des communications par l'intermédiaire de vSphere Web Client ou de clients de gestion de réseau tiers qui utilisent SDK pour communiquer avec l'hôte. Pendant le fonctionnement normal, vCenter Server écoute les données de ses hôtes et clients gérés sur les ports désignés. vCenter Server suppose aussi que ces hôtes gérés écoutent les donnés de vCenter Server sur les ports désignés. Si un pare-feu est présent entre l'un de ces éléments, vous devez vous assurer que le pare-feu a des ports ouverts pour prendre en charge le transfert des données.

Vous pouvez également inclure des pare-feu à un grand nombre d'autres points d'accès du réseau, en fonction de la manière dont vous envisagez d'utiliser le réseau et du niveau de sécurité nécessaire aux différents périphériques. Sélectionnez les emplacements de vos pare-feu en fonction des risques de sécurité que vous avez identifiés pour votre configuration réseau. Vous trouverez ci-après une liste des emplacements de pare-feu commune aux implémentations ESXi.

  • Entre vSphere Web Client ou un client de gestion de réseau tiers et vCenter Server.

  • Si vos utilisateurs accèdent aux machines virtuelles via un navigateur Web, entre le navigateur Web et l'hôte ESXi.

  • Si vos utilisateurs accèdent à des machines virtuelles par l'intermédiaire de vSphere Web Client, entre vSphere Web Client et l'hôte ESXi. Cette connexion s'ajoute à la connexion entre vSphere Web Client et vCenter Server et elle nécessite un port différent.

  • Entre vCenter Server et les hôtes ESXi.

  • Entre les hôtes ESXi de votre réseau. Bien que le trafic entre les hôtes soit généralement considéré comme sécurisé, vous pouvez ajouter des pare-feu entre eux si vous vous inquiétez des défaillances de sécurité de machine à machine.

    Si vous ajoutez des pare-feu entre les hôtes ESXi et envisagez de migrer les machines virtuelles entre les serveurs, faites un clonage ou utilisez vMotion. Vous devez également ouvrir des ports dans les pare-feu qui divisent l'hôte source des hôtes cibles afin que la source et les cibles puissent communiquer.

  • Entre les hôtes ESXi et le stockage réseau tel que le stockage NFS ou iSCSI. Ces ports ne sont pas spécifiques à VMware et vous pouvez les configurer en fonction des spécifications de votre réseau.