vCenter Server を介して ESXi ホストにアクセスする場合、通常はファイアウォールを使用して vCenter Server を保護します。
ファイアウォールは、すべてのエントリ ポイントで必要です。クライアントと vCenter Server の間にファイアウォールを配置するか、vCenter Server とクライアントの両方をファイアウォールの背後に配置することができます。
vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。
vCenter Server を使用して構成したネットワークは、vSphere Client、他のユーザー インターフェイス クライアント、または vSphere API を使用するクライアントを介して通信を受信できます。通常の操作中、vCenter Server は、指定ポートで管理されるホストとクライアントからのデータを待機します。また、vCenter Server は、管理ホストが指定ポートで vCenter Server からのデータを待機することを前提としています。これらの構成要素のいずれかの間にファイアウォールがある場合、データ転送をサポートするため、ファイアウォールに開いているポートがあることを確認する必要があります。
ネットワークの使用量や、クライアントで必要とされるセキュリティ レベルに応じて、ネットワーク内の他のアクセス ポイントにもファイアウォールを含める場合があります。ファイアウォールの配置場所は、ネットワーク構成のセキュリティ リスクに基づいて選択します。一般的に使用されるファイアウォールの場所を次に示します。
- vSphere Client またはサードパーティ製ネットワーク管理クライアントと vCenter Server の間。
- ユーザーが Web ブラウザを介して仮想マシンにアクセスする場合は、Web ブラウザと ESXi ホストの間。
- vSphere Client を介して仮想マシンにアクセスする場合は、vSphere Client と ESXi ホストの間。この接続は、vSphere Client と vCenter Server の間の追加接続で、別のポートが必要です。
- vCenter Server と ESXi ホストの間。
- ネットワーク内の ESXi ホスト間。通常、ホスト間のトラフィックは信頼できると考えられますが、マシン間でのセキュリティ違反を考慮する場合は、ホスト間にファイアウォールを追加することもできます。
ESXi ホスト間にファイアウォールを追加して、仮想マシンを移行する場合は、ターゲット ホストとソース ホストの間にあるすべてのファイアウォールのポートを開きます。
- ESXi ホストと、NFS や iSCSI ストレージなどネットワーク ストレージとの間。これらのポートは、VMware に固有のものではありません。ネットワークの仕様に合わせて構成してください。