ESXi contient un pare-feu situé entre l'interface de gestion et le réseau. Le pare-feu est activé par défaut. Au moment de l'installation, le pare-feu ESXi est configuré pour bloquer le trafic entrant et sortant, à l'exception du trafic des services par défaut, tels que NFS.

Les services pris en charge, notamment NFS, sont décrits dans un fichier de configuration de groupe de règles dans le répertoire du pare-feu ESXi /etc/vmware/firewall/. Le fichier contient les règles de pare-feu et leurs relations avec les ports et les protocoles.

Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autres ensembles de règles.

Pour plus d'informations sur les configurations de pare-feu, reportez-vous à la documentation de Sécurité vSphere.

Comportement du pare-feu client NFS

L'ensemble de règles de pare-feu du client NFS ne se comporte pas comme les ensembles de règles de pare-feu ESXi. ESXi configure les paramètres du client NFS lorsque vous montez ou démontez une banque de données NFS. Le comportement dépend de la version de NFS.

Lorsque vous ajoutez, montez ou démontez une banque de données NFS, le comportement obtenu dépend de la version de NFS.

Comportement du pare-feu NFS v3

Lorsque vous ajoutez ou montez une banque de données NFS v3, ESXi vérifie l'état de l'ensemble de règles de pare-feu du client NFS (nfsClient).

  • Si l'ensemble de règles nfsClient est désactivé, ESXi active l'ensemble de règles et désactive la stratégie Autoriser toutes les adresses IP en définissant l'indicateur allowedAll sur FALSE. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.
  • Si l'ensemble de règles nfsClient est activé, l'état de l'ensemble de règles et la stratégie d'adresse IP autorisée ne sont pas modifiés. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.
Note : Si vous activez manuellement l'ensemble de règles nfsClient ou configurez manuellement la stratégie Autoriser toutes les adresses IP, avant ou après avoir ajouté une banque de données NFS v3 dans le système, vos paramètres sont remplacés lorsque la dernière banque de données NFS v3 est démontée. L'ensemble de règles nfsClient est désactivé lorsque toutes les banques de données NFS v3 sont démontées.

Lorsque vous supprimez ou démontez une banque de données NFS v3, ESXi réalise l'une des actions suivantes.

  • Si aucune des banques de données NFS v3 restantes n'est montée à partir du serveur de la banque de données que vous être en train de démonter, ESXi supprime l'adresse IP du serveur dans la liste des adresses IP sortantes.
  • S'il ne reste aucune banque de données NFS v3 montée une fois l'opération de démontage terminée, ESXi désactive l'ensemble de règles de pare-feu nfsClient.

Comportement du pare-feu NFS v4.1

Lorsque vous montez la première banque de données NFS v4.1, ESXi active l'ensemble de règles nfs41client et définit son indicateur allowedAll sur TRUE. Cette action ouvre le port 2049 pour toutes les adresses IP. Le démontage d'une banque de données NFS v4.1 n'a pas d'impact sur l'état du pare-feu. En d'autres termes, le port 2049 s'ouvre la première fois que vous montez une banque de données NFS v4.1 et reste ouvert jusqu'à ce que vous le fermiez explicitement.

Vérifier les ports de pare-feu pour des clients NFS

Pour activer l'accès à un stockage NFS, ESXi ouvre automatiquement des ports de pare-feu pour les clients NFS lorsque vous montez une banque de données NFS. À des fins de dépannage, vous devrez éventuellement vérifier que les ports sont ouverts.

Procédure

  1. Dans vSphere Client, accédez à l'hôte ESXi.
  2. Cliquez sur l'onglet Configurer.
  3. Sous Système, cliquez sur Pare-feu, puis sur Modifier.
  4. Faites défiler les informations vers le bas jusqu'à une version appropriée de NFS pour vous assurer que le port est ouvert.