Lorsque vous configurez le pare-feu de réseau, déterminez la version de vSAN que vous déployez.
Lorsque vous activez vSAN sur un cluster, tous les ports nécessaires sont ajoutés aux règles de pare-feu ESXi et configurés automatiquement. Il n'est pas nécessaire d'ouvrir des ports de pare-feu ou d'activer des services de pare-feu manuellement. Vous pouvez afficher les ports ouverts pour les connexions entrantes et sortantes dans le profil de sécurité de l'hôte ESXi (Configurer > Profil de sécurité).
Règle de pare-feu vsanEncryption
Si votre cluster utilise le chiffrement vSAN, tenez compte de la communication entre les hôtes et le serveur KMS .
Le chiffrement vSAN requiert un serveur de gestion de clés (KMS) externe. vCenter Server obtient les ID de clés du KMS, et les distribue aux hôtes ESXi. Les serveurs KMS et les hôtes ESXi communiquent directement les uns avec les autres. Les serveurs KMS peuvent utiliser des numéros de port différents. La règle de pare-feu vsanEncryption vous permet donc de simplifier la communication entre chaque hôte vSAN et le serveur KMS. Cela permet à un hôte vSAN de communiquer directement avec n'importe quel port sur un serveur KMS (port TCP 0 à 65535).
- L'adresse IP du serveur KMS est ajoutée à la règle vsanEncryption et la règle de pare-feu est activée.
- La communication entre le nœud vSAN et le serveur KMS est établie lors de l'échange.
- Une fois la communication entre le nœud vSAN et le serveur KMS terminée, l'adresse IP est supprimée de la règle vsanEncryption, et la règle de pare-feu est à nouveau désactivée.