從 ESX/ESXi 4.x 移轉或升級到 ESXi 5.x 會導致主機防火牆組態發生一些變更。

從 ESX 4.x 移轉到 ESXi 5.x 時,ESX 4.x 規則集清單將取代為 ESXi 5.x 中的新規則集清單。/etc/vmware/esx.conf 檔案中的以下組態會保留:

  • 現有啟用/停用狀態。

  • esxcfg-firewall 新增的 allowedip。

移轉後,使用者新增的規則集檔案及在 ESX 4.x 中建立的自訂防火牆規則將不會保留。移轉之後,在首次開機時,對於在 ESX 4.x /etc/vmware/esx.conf 檔案中不包含項目的規則集,ESXi 5.x 防火牆會載入預設啟用的狀態。

移轉到 ESXi 5.x 後,僅當 ESX 4.x /etc/vmware/esx.conf 檔案中預設原則的 blockIncoming 和 blockOutgoing 值均為 false 時,ESXi 5.x 上的預設封鎖原則才會設為 false (依預設傳遞所有流量)。否則,預設原則將拒絕所有流量。

升級到 ESXi 5.x 後,透過使用 ESX/ESXi 4.1 esxcfg-firewall 命令開啟的自訂連接埠不會保持開啟狀態。升級後,組態項目會傳送到 esx.conf 檔案,但對應的連接埠未開啟。如需 ESXi 防火牆組態的資訊,請參閱 vSphere 安全性說明文件。

重要事項︰

ESXi 5.x 中的 ESXi 防火牆不允許按網路篩選 vMotion 流量。因此,必須在外部防火牆上安裝規則,才能確認 vMotion 通訊端沒有傳入連線。