安全性最佳做法是根據 VMware 建議設定 vRealize Automation 應用裝置 的傳入和傳出連接埠。

傳入連接埠

設定 vRealize Automation 應用裝置 所需的傳入連接埠數下限。請視系統組態需要設定選擇性連接埠。

表格 1. 所需的最少傳入連接埠

連接埠

通訊協定

註解

443

TCP

存取 vRealize Automation 主控台及 API 呼叫。

8443

TCP

主控台 Proxy (VMRC)。

5480

TCP

存取虛擬應用裝置 Web 管理主控台。

5488, 5489

TCP

內部。由 vRealize Automation 應用裝置 用於更新。

5672

TCP

RabbitMQ 訊息傳送。

備註︰

叢集 vRealize Automation 應用裝置 執行個體時,您可能需要設定開啟連接埠 4369 和 25672。

40002

TCP

vIDM 服務的所需項。在 HA 組態中新增該項後,將封鎖所有外部流量 (來自其他 vRealize Automation 應用裝置 節點的流量除外)。

視需要設定選擇性傳入連接埠。

表格 2. 選擇性傳入連接埠

連接埠

通訊協定

註解

22

TCP

(選擇性) SSH。在生產環境中,在連接埠 22 上停用接聽 SSH 服務,並關閉連接埠 22。

80

TCP

(選擇性) 重新導向至 443。

傳出連接埠

設定所需的傳出連接埠。

表格 3. 所需的最少傳出連接埠

連接埠

通訊協定

註解

25、587

TCP、UDP

傳送輸出通知電子郵件的 SMTP。

53

TCP、UDP

DNS。

67, 68, 546, 547

TCP、UDP

DHCP。

110, 995

TCP、UDP

接收輸入通知電子郵件的 POP。

143, 993

TCP、UDP

接收輸入通知電子郵件的 IMAP。

443

TCP

透過 HTTPS 的基礎結構即 Service Manager 服務。

視需要設定選擇性傳出連接埠。

表格 4. 選擇性的傳出連接埠

連接埠

通訊協定

註解

80

TCP

(選擇性) 供提取軟體更新。您可以個別下載並套用更新。

123

TCP、UDP

(選擇性) 供直接連線至 NTP,而非使用主機時間。