設定網路防火牆時,請考慮您要部署的 vSAN 版本。
在叢集上啟用 vSAN 時,所有必要的連接埠都將新增至 ESXi 防火牆規則,並自動設定。您不需要開啟任何防火牆連接埠或手動啟用任何防火牆服務。您可以在 ESXi 主機安全性設定檔 (設定 > 安全性設定檔) 中檢視傳入和傳出連線的開啟連接埠。
vsanEncryption 防火牆規則
如果您的叢集使用 vSAN 加密,請考慮主機與 KMS 伺服器之間的通訊。
vSAN 加密需要外部金鑰管理伺服器 (KMS)。vCenter Server 會從 KMS 取得金鑰識別碼,並將它們散佈至 ESXi 主機。KMS 伺服器和 ESXi 主機會直接彼此通訊。KMS 伺服器可能會使用不同的連接埠號碼,因此 vsanEncryption 防火牆規則可讓您簡化每個 vSAN 主機與 KMS 伺服器之間的通訊。這可讓 vSAN 主機直接與 KMS 伺服器上的任何連接埠 (TCP 連接埠 0 到 65535) 進行通訊。
當主機與 KMS 伺服器建立通訊時,便會發生下列作業。
- KMS 伺服器 IP 會新增至 vsanEncryption 規則,並且啟用防火牆規則。
- 在交換期間會建立 vSAN 節點與 KMS 伺服器之間的通訊。
- 在 vSAN 節點與 KMS 伺服器之間的通訊結束後,IP 位址會從 vsanEncryption 規則中移除,且防火牆規則會再次停用。