네트워크 방화벽을 구성할 때는 배포하려는 vSAN 버전을 고려하십시오.
클러스터에서 vSAN을 사용하도록 설정하면 모든 필수 포트가 ESXi 방화벽 규칙에 추가되고 자동으로 구성됩니다. 방화벽 포트를 열거나 모든 방화벽 서비스를 수동으로 사용하도록 설정할 필요는 없습니다. ESXi 호스트 보안 프로파일(구성 > 보안 프로파일)에서 수신 및 송신 연결을 위한 열린 포트를 볼 수 있습니다.
vsanEncryption 방화벽 규칙
클러스터에서 vSAN 암호화를 사용하는 경우 호스트와 KMS 서버 간의 통신을 고려합니다.
vSAN 암호화를 사용하려면 외부 KMS(키 관리 서버)가 필요합니다. vCenter Server는 KMS에서 키 ID를 가져와 ESXi 호스트에 분산합니다. KMS 서버 및 ESXi 호스트는 서로 직접 통신합니다. KMS 서버는 서로 다른 포트 번호를 사용할 수 있으므로 vsanEncryption 방화벽 규칙을 사용하면 각 vSAN 호스트와 KMS 서버 간의 통신을 단순화할 수 있습니다. 이를 통해 vSAN 호스트가 KMS 서버의 모든 포트(TCP 포트 0 ~ 65535)와 직접 통신할 수 있습니다.
호스트가 KMS 서버와의 통신을 설정하면 다음 작업이 발생합니다.
- KMS 서버 IP가 vsanEncryption 규칙에 추가되고 방화벽 규칙이 사용하도록 설정됩니다.
- 교환 중에 vSAN 노드와 KMS 서버 간의 통신이 설정됩니다.
- 그런 후 vSAN 노드와 KMS 서버 간의 통신이 종료되면 IP 주소가 vsanEncryption 규칙에서제거되고 방화벽 규칙이 다시 사용하지 않도록 설정됩니다.