Quando si configura il firewall di rete, si tenga presente la versione di vSAN che si sta distribuendo.
Quando si abilita vSAN in un cluster, tutte le porte necessarie vengono aggiunte alle regole del firewall di ESXi e vengono configurate automaticamente. Non è necessario aprire le porte del firewall o abilitare i servizi del firewall manualmente. È possibile visualizzare le porte aperte per le connessioni in entrata e in uscita nel profilo di sicurezza dell'host ESXi (Configura > Profilo di sicurezza).
Regola del firewall vsanEncryption
Se il cluster utilizza la crittografia vSAN, si tenga presente la comunicazione tra gli host e il server KMS.
La crittografia vSAN richiede un server di gestione chiavi (KMS) esterno. vCenter Server ottiene gli ID delle chiavi da KMS e li distribuisce agli host ESXi. I server KMS e gli host ESXi comunicano direttamente tra loro. Poiché i server KMS potrebbero utilizzare numeri di porta diversi, la regola del firewall vsanEncryption consente di semplificare la comunicazione tra ciascun host vSAN e il server KMS. In questo modo, un host vSAN può comunicare direttamente con qualsiasi porta in un server KMS (porta TCP da 0 a 65535).
- L'IP del server KMS viene aggiunto alla regola vsanEncryption e la regola del firewall viene abilitata.
- La comunicazione tra il nodo vSAN e il server KMS viene stabilita durante lo scambio.
- Quando la comunicazione tra il nodo vSAN e il server KMS termina, l'indirizzo IP viene rimosso dalla regola vsanEncryption e la regola del firewall viene disattivata nuovamente.