ネットワーク ファイアウォールを構成する場合は、展開する vSAN のバージョンを検討します。
クラスタで vSAN を有効にすると、必要なすべてのポートが ESXi ファイアウォール ルールに追加され、自動的に設定されます。ファイアウォール ポートを開いたり、ファイアウォール サービスを手動で有効にしたりする必要はありません。ESXi ホスト セキュリティプロファイル([構成] > [セキュリティ プロファイル]) で、受信接続と送信接続用に開いているポートを確認できます。
[vsanEncryption ファイアウォール ルール]
クラスタで vSAN 暗号化を使用している場合は、ホストと KMS サーバ 間の通信を考慮する必要があります。
vSAN 暗号化を使用するには、外部のキー管理サーバ (KMS) が必要です。vCenter Server は KMS からキー ID を取得し、ESXi ホストに配布します。KMS サーバと ESXi ホストは相互に直接通信を行います。KMS サーバが異なるポート番号を使用している場合があるため、vsanEncryption ファイアウォール ルールを使用すると、各 vSAN ホストと KMS サーバ間の通信を簡素化できます。これにより、vSAN ホストは KMS サーバ上の任意のポート(TCP ポート 0 ~ 65535)と直接通信できます。
ホストが KMS サーバとの通信を確立すると、次の操作が実行されます。
- KMS サーバの IP アドレスが vsanEncryption ルールに追加され、ファイアウォール ルールが有効になります。
- 交換時に vSAN ノードと KMS サーバ間の通信が確立されます。
- vSAN ノードと KMS サーバ間の通信が行われた後、vsanEncryption ルールから IP アドレスが削除され、ファイアウォール ルールが再度無効になります。