ネットワーク ファイアウォールを構成する場合は、展開する vSAN のバージョンを検討します。

クラスタで vSAN を有効にすると、必要なすべてのポートが ESXi ファイアウォール ルールに追加され、自動的に設定されます。ファイアウォール ポートを開いたり、ファイアウォール サービスを手動で有効にしたりする必要はありません。ESXi ホスト セキュリティプロファイル（[構成] > [セキュリティ プロファイル]） で、受信接続と送信接続用に開いているポートを確認できます。

[vsanEncryption ファイアウォール ルール]

クラスタで vSAN 暗号化を使用している場合は、ホストと KMS サーバ 間の通信を考慮する必要があります。

vSAN 暗号化を使用するには、外部のキー管理サーバ (KMS) が必要です。vCenter Server は KMS からキー ID を取得し、ESXi ホストに配布します。KMS サーバと ESXi ホストは相互に直接通信を行います。KMS サーバが異なるポート番号を使用している場合があるため、vsanEncryption ファイアウォール ルールを使用すると、各 vSAN ホストと KMS サーバ間の通信を簡素化できます。これにより、vSAN ホストは KMS サーバ上の任意のポート（TCP ポート 0 ～ 65535）と直接通信できます。