如果要透過 vCenter Server 存取 ESXi 主機,通常會使用防火牆來保護 vCenter Server。
必須在進入點佈設防火牆。防火牆可能位於用戶端和 vCenter Server 或 vCenter Server 之間,並且用戶端均可受防火牆保護。
如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。
設定了 vCenter Server 的網路可透過 vSphere Client、其他 UI 用戶端或使用 vSphere API 的用戶端接收通訊。在一般作業期間,vCenter Server 會在指定的連接埠上接聽來自其受管理的主機和用戶端的資料。vCenter Server 還假定其受管理主機會在指定的連接埠上接聽來自 vCenter Server 的資料。如果在其中任一元素之間存在防火牆,必須確保防火牆中有開啟的連接埠可支援資料傳輸。
您可能還可以在網路中的其他存取點處佈設防火牆,具體取決於網路使用量及用戶端所需的安全性層級。根據網路組態的安全性風險,選取防火牆位置。通常使用以下防火牆位置。
- 在 vSphere Client 或第三方網路管理用戶端與 vCenter Server 之間。
- 在網頁瀏覽器與 ESXi 主機之間 (如果使用者透過網頁瀏覽器存取虛擬機器)。
- 在 vSphere Client 與 ESXi 主機之間 (如果使用者透過 vSphere Client 存取虛擬機器)。此連線是 vSphere Client 與 vCenter Server 之間連線的補充,它需要一個不同的連接埠。
- 在 vCenter Server 與 ESXi 主機之間。
- 在網路中的 ESXi 主機之間。儘管主機之間的流量通常被認為是受信任的,但是,如果您擔心電腦間存在安全性缺口,可以在主機間新增防火牆。
如果要在 ESXi 主機間新增防火牆,並打算在這些主機間移轉虛擬機器,則在將來源主機和目標主機分隔開的任何防火牆中開啟連接埠。
- 在 ESXi 主機與網路儲存區 (如 NFS 或 iSCSI 儲存區) 之間。這些連接埠並非專屬於 VMware。可根據網路規格進行設定。