安全性管理員使用防火牆,保護網路或網路中的選取元件不受到入侵。

防火牆可控制對保護範圍內裝置的存取,方法是關閉所有連接埠,管理員顯式或隱式指定的授權連接埠除外。管理員開啟的連接埠允許防火牆內外裝置間的流量。

重要: ESXi 5.5 及更新版本中的 ESXi 防火牆不允許每個網路篩選 vMotion 流量。因此,必須在外部防火牆上安裝規則,才能確認 vMotion 通訊端沒有傳入連線。

在虛擬機器環境中,您可以為元件之間的防火牆規劃配置。

  • 實體機器 (如,vCenter Server 系統和 ESXi 主機) 之間的防火牆。
  • 一個虛擬機器與另一個虛擬機器之間的防火牆 (例如,在做為外部 Web 伺服器的虛擬機器與連線到公司內部網路的虛擬機器之間)。
  • 實體機器與虛擬機器之間的防火牆 (例如,將防火牆置於實體網路介面卡和虛擬機器之間)。

防火牆在 ESXi 組態中的使用方式,取決於您打算如何使用網路以及必須為特定的元件提供何等級別的安全。例如,如果在您建立的虛擬網路中,每個虛擬機器專用於執行同一部門的不同基準測試套件,那麼從一個虛擬機器對相鄰虛擬機器進行不需要的存取的風險最小。因此,防火牆存在於虛擬機器之間的組態不是必要的。但是,為了防止外部主機的測試執行中斷,您可以在虛擬網路的進入點設定防火牆來保護整個虛擬機器集。

如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。

針對具有 vCenter Server 的組態設定防火牆

如果要透過 vCenter Server 存取 ESXi 主機,通常會使用防火牆來保護 vCenter Server

必須在進入點佈設防火牆。防火牆可能位於用戶端和 vCenter ServervCenter Server 之間,並且用戶端均可受防火牆保護。

如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。

設定了 vCenter Server 的網路可透過 vSphere Client、其他 UI 用戶端或使用 vSphere API 的用戶端接收通訊。在一般作業期間,vCenter Server 會在指定的連接埠上接聽來自其受管理的主機和用戶端的資料。vCenter Server 還假定其受管理主機會在指定的連接埠上接聽來自 vCenter Server 的資料。如果在其中任一元素之間存在防火牆,必須確保防火牆中有開啟的連接埠可支援資料傳輸。

您可能還可以在網路中的其他存取點處佈設防火牆,具體取決於網路使用量及用戶端所需的安全性層級。根據網路組態的安全性風險,選取防火牆位置。通常使用以下防火牆位置。

  • vSphere Client 或第三方網路管理用戶端與 vCenter Server 之間。
  • 在網頁瀏覽器與 ESXi 主機之間 (如果使用者透過網頁瀏覽器存取虛擬機器)。
  • vSphere ClientESXi 主機之間 (如果使用者透過 vSphere Client 存取虛擬機器)。此連線是 vSphere ClientvCenter Server 之間連線的補充,它需要一個不同的連接埠。
  • vCenter ServerESXi 主機之間。
  • 在網路中的 ESXi 主機之間。儘管主機之間的流量通常被認為是受信任的,但是,如果您擔心電腦間存在安全性缺口,可以在主機間新增防火牆。

    如果要在 ESXi 主機間新增防火牆,並打算在這些主機間移轉虛擬機器,則在將來源主機和目標主機分隔開的任何防火牆中開啟連接埠。

  • ESXi 主機與網路儲存區 (如 NFS 或 iSCSI 儲存區) 之間。這些連接埠並非專屬於 VMware。可根據網路規格進行設定。

透過防火牆連線到 vCenter Server

在防火牆中開啟 TCP 連接埠 443,讓 vCenter Server能夠接收資料。

依預設,vCenter Server使用 TCP 連接埠 443 來接聽其用戶端的資料。如果您在 vCenter Server及其用戶端之間設有防火牆,必須設定可讓vCenter Server 從用戶端接收資料的連線。防火牆組態取決於您的站台所使用的內容,請連絡您的本機防火牆系統管理員以取得相關資訊。

透過防火牆連線 ESXi主機

如果您在 ESXi主機及 vCenter Server 之間設有防火牆,請確保受管理的主機能夠接收資料。

若要設定用於接收資料的連線,請開啟用於 vSphere High Availability、vMotion、vSphere Fault Tolerance 等服務的流量的連接埠。如需組態檔、vSphere Client存取權限,以及防火牆命令的討論,請參閱設定 ESXi 防火牆。如需連接埠清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com

針對沒有 vCenter Server的組態設定防火牆

如果您的環境不包含 vCenter Server,用戶端可以直接連線到 ESXi 網路。

您可以使用數種方式連線到獨立 ESXi主機。
  • VMware Host Client
  • ESXCLI 介面
  • vSphere Web Services SDK 或 vSphere Automation SDK
  • 第三方用戶端
獨立主機的防火牆需求與存在 vCenter Server時的需求相似。
  • 使用防火牆保護 ESXi層,或保護用戶端及ESXi 層,具體取決於您的組態。該防火牆可為網路提供基本保護。
  • 此類組態中的授權是您在每個主機上安裝的ESXi套件的一部分。由於授權功能駐留在 ESXi上,因此無需帶防火牆的單獨授權伺服器。

您可以使用 ESXCLI 或使用VMware Host Client設定防火牆連接埠。請參閱vSphere 單一主機管理 - VMware Host Client

透過防火牆連線到虛擬機器主控台

特定連接埠必須開啟,使用者和管理員才能與虛擬機器主控台通訊。必須開啟哪些連接埠會視虛擬機器主控台的類型,以及是透過包含 vSphere ClientvCenter Server 連線還是直接從 VMware Host Client 連線到 ESXi 主機而定。

如需有關連接埠、用途和分類 (傳入、傳出或雙向) 的詳細資訊,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com

透過 vSphere Client 連線到以瀏覽器為基礎的虛擬機器主控台

使用 vSphere Client 進行連線時,一律會連線到管理 ESXi 主機的 vCenter Server 系統,並從該處存取虛擬機器主控台。

如果使用 vSphere Client 並連線到以瀏覽器為基礎的虛擬機器主控台,則必須可進行下列存取:

  • 防火牆必須允許 vSphere Client 在連接埠 443 上存取 vCenter Server
  • 防火牆必須允許 vCenter Server 在連接埠 902 上存取 ESXi 主機。

透過 vSphere Client 連線到 VMware Remote Console

如果使用 vSphere Client 並連線到 VMware Remote Console (VMRC),則必須可進行下列存取:

  • 防火牆必須允許 vSphere Client 在連接埠 443 上存取 vCenter Server
  • 防火牆必須允許 VMRC 存取連接埠 443 上的 vCenter Server,並存取連接埠 902 (對於 11.0 之前的 VMRC 版本) 和連接埠 443 (對於 VMRC 11.0 版及更高版本) 上的 ESXi 主機。如需有關 VMRC 11.0 版和 ESXi 連接埠需求的詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/76672

使用 VMware Host Client 直接連線到 ESXi 主機

如果直接連線到 ESXi 主機,則可以使用 VMware Host Client 虛擬機器主控台。
備註: 請勿使用 VMware Host Client 直接連線到由 vCenter Server 系統管理的主機。如果您透過 VMware Host Client 對此類主機進行變更,會導致環境不穩定。

防火牆必須允許在連接埠 443 和 902 上存取 ESXi 主機

VMware Host Client 使用連接埠 902 為虛擬機器上的客體作業系統 MKS 活動提供連線。使用者正是透過此連接埠,與虛擬機器的客體作業系統及應用程式進行互動。VMware 不支援為此功能設定不同的連接埠。