vCenter Server を介して ESXi ホストにアクセスする場合、通常はファイアウォールを使用して vCenter Server を保護します。

ファイアウォールは、すべてのエントリ ポイントで必要です。クライアントと vCenter Server の間にファイアウォールを配置するか、vCenter Server とクライアントの両方をファイアウォールの背後に配置することができます。

vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。

vCenter Server を使用して構成したネットワークは、vSphere Web Client、他のユーザー インターフェイス クライアント、または vSphere API を使用するクライアントを介して通信を受信できます。通常の動作時に、vCenter Server は指定されたポートで管理対象ホストおよびクライアントからのデータを待機します。vCenter Server は、管理対象ホストが指定されたポートで vCenter Server からのデータを待機することも前提としています。これらの構成要素のいずれかの間にファイアウォールがある場合、データ転送をサポートするため、ファイアウォールに開いているポートがあることを確認する必要があります。

ネットワークの使用量や、クライアントで必要とされるセキュリティ レベルに応じて、ネットワーク内の他のアクセス ポイントにもファイアウォールを含める場合があります。ファイアウォールの配置場所は、ネットワーク構成のセキュリティ リスクに基づいて選択します。一般的に使用されるファイアウォールの場所を次に示します。

• vSphere Web Client またはサードパーティ製ネットワーク管理クライアントと vCenter Server の間。
• ユーザーが Web ブラウザを介して仮想マシンにアクセスする場合は、Web ブラウザと ESXi ホストの間。
• vSphere Web Client を介して仮想マシンにアクセスする場合は、vSphere Web Client と ESXi ホストの間。この接続は、vSphere Web Client と vCenter Server の間の追加接続で、別のポートが必要です。
• vCenter Server と ESXi ホストの間。
• ネットワーク内の ESXi ホスト間。通常、ホスト間のトラフィックは信頼できると考えられますが、マシン間でのセキュリティ違反を考慮する場合は、ホスト間にファイアウォールを追加することもできます。

  ESXi ホスト間にファイアウォールを追加して、仮想マシンを移行する場合は、ターゲット ホストとソース ホストの間にあるすべてのファイアウォールのポートを開きます。

• ESXi ホストと、NFS や iSCSI ストレージなどネットワーク ストレージとの間。これらのポートは、VMware に固有のものではありません。ネットワークの仕様に合わせて構成してください。