如果要透過 vCenter Server 存取 ESXi 主機，通常會使用防火牆來保護 vCenter Server。

必須在進入點佈設防火牆。防火牆可能位於用戶端和 vCenter Server 或 vCenter Server 之間，並且用戶端均可受防火牆保護。

如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單，請參閱 VMware Ports and Protocols Tool™，網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單，以及列印或儲存連接埠清單。

設定了 vCenter Server 的網路可透過 vSphere Client、其他 UI 用戶端或使用 vSphere API 的用戶端接收通訊。在一般作業期間，vCenter Server 會在指定的連接埠上接聽來自其受管理的主機和用戶端的資料。vCenter Server 還假定其受管理主機會在指定的連接埠上接聽來自 vCenter Server 的資料。如果在其中任一元素之間存在防火牆，必須確保防火牆中有開啟的連接埠可支援資料傳輸。

您可能還可以在網路中的其他存取點處佈設防火牆，具體取決於網路使用量及用戶端所需的安全性層級。根據網路組態的安全性風險，選取防火牆位置。通常使用以下防火牆位置。

• 在 vSphere Client 或第三方網路管理用戶端與 vCenter Server 之間。
• 在網頁瀏覽器與 ESXi 主機之間 (如果使用者透過網頁瀏覽器存取虛擬機器)。
• 在 vSphere Client 與 ESXi 主機之間 (如果使用者透過 vSphere Client 存取虛擬機器)。此連線是 vSphere Client 與 vCenter Server 之間連線的補充，它需要一個不同的連接埠。
• 在 vCenter Server 與 ESXi 主機之間。
• 在網路中的 ESXi 主機之間。儘管主機之間的流量通常被認為是受信任的，但是，如果您擔心電腦間存在安全性缺口，可以在主機間新增防火牆。

  如果要在 ESXi 主機間新增防火牆，並打算在這些主機間移轉虛擬機器，則在將來源主機和目標主機分隔開的任何防火牆中開啟連接埠。

• 在 ESXi 主機與網路儲存區 (如 NFS 或 iSCSI 儲存區) 之間。這些連接埠並非專屬於 VMware。可根據網路規格進行設定。

在防火牆中開啟 TCP 連接埠 443，讓 vCenter Server能夠接收資料。

依預設，vCenter Server使用 TCP 連接埠 443 來接聽其用戶端的資料。如果您在 vCenter Server及其用戶端之間設有防火牆，必須設定可讓vCenter Server 從用戶端接收資料的連線。防火牆組態取決於您的站台所使用的內容，請連絡您的本機防火牆系統管理員以取得相關資訊。

如果您在 ESXi主機及 vCenter Server 之間設有防火牆，請確保受管理的主機能夠接收資料。

若要設定用於接收資料的連線，請開啟用於 vSphere High Availability、vMotion、vSphere Fault Tolerance 等服務的流量的連接埠。如需組態檔、vSphere Client存取權限，以及防火牆命令的討論，請參閱設定 ESXi 防火牆。如需連接埠清單，請參閱 VMware Ports and Protocols Tool™，網址為 https://ports.vmware.com。

如果您的環境不包含 vCenter Server，用戶端可以直接連線到 ESXi 網路。

• 使用防火牆保護 ESXi層，或保護用戶端及ESXi 層，具體取決於您的組態。該防火牆可為網路提供基本保護。
• 此類組態中的授權是您在每個主機上安裝的ESXi套件的一部分。由於授權功能駐留在 ESXi上，因此無需帶防火牆的單獨授權伺服器。

您可以使用 ESXCLI 或使用VMware Host Client設定防火牆連接埠。請參閱vSphere 單一主機管理 - VMware Host Client。

特定連接埠必須開啟，使用者和管理員才能與虛擬機器主控台通訊。必須開啟哪些連接埠會視虛擬機器主控台的類型，以及是透過包含 vSphere Client 的 vCenter Server 連線還是直接從 VMware Host Client 連線到 ESXi 主機而定。

如需有關連接埠、用途和分類 (傳入、傳出或雙向) 的詳細資訊，請參閱 VMware Ports and Protocols Tool™，網址為 https://ports.vmware.com。