Lors de la création d'un tunnel, vCloud Tunneling Agent ouvre un port sur le dispositif vSphere Replication. Les hôtes ESXi se connectent à ce port pour envoyer des données de réplication à une organisation cloud. Le port est sélectionné de façon aléatoire dans une plage configurable. La plage de ports par défaut est TCP 10000-10010.

Par défaut, les ports 10000-10010 ne sont pas ouverts sur les hôtes ESXi. Lorsque vous mettez sous tension le dispositif vSphere Replication, un VIB (vSphere Installation Bundle) est installé sur tous les hôtes ESXi pris en charge dans l'inventaire vCenter Server à l'endroit où le dispositif est déployé. Le VIB crée une règle de pare-feu, trafic de réplication vers le cloud, qui ouvre les ports TCP 10000 à 10010 pour le trafic sortant. La règle est automatiquement activée et s'applique immédiatement lorsque vous mettez le dispositif vSphere Replication sous tension, ou lorsqu'un hôte est enregistré ou connecté dans vCenter Server. Si un administrateur supprime le VIB d'un hôte, par exemple à l'aide de l'utilitaire esxcli, le dispositif vSphere Replication réinstalle le VIB lors du prochain redémarrage du dispositif ou lorsqu'un hôte est redémarré ou reconnecté à l'inventaire. Si vous ne souhaitez pas que les ports 10000 à 10010 soient ouverts sur un hôte ESXi et si vous ne prévoyez pas d'utiliser cet hôte comme source de réplication, vous pouvez désactiver la règle de trafic de réplication vers le cloud. Reportez-vous à Autoriser ou refuser l'accès à un service ESXi ou à un agent de gestion avec vSphere Web Client.

Pour réduire le nombre de ports ouverts ou pour modifier les ports qui sont utilisés pour la communication entre les hôtes ESXi et vCloud Tunneling Agent, vous pouvez créer une règle de pare-feu personnalisée et reconfigurer l'agent.