Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi - VMware Handbuch zur Serverkonfiguration für ESXi - VMware
Handbuch zur Serverkonfiguration für ESXi Wenn Sie zwischen dem vCenter Server-System und dem von vCenter Server verwalteten Host eine Firewall installiert haben, müssen Sie die Ports 443 und 902 in der Firewall öffnen, um Datenverkehr von vCenter Server zu den ESXi-Hosts und vom vSphere-Client direkt zu den ESXi-Hosts zuzulassen. Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewalladministrator. Verbinden von ESXi-Hosts über Firewalls Wenn Sie eine Firewall zwischen zwei ESXi-Hosts eingerichtet haben und Datenübertragungen zwischen den Hosts ermöglichen möchten oder mit vCenter Server Quell/Ziel-Aktivitäten wie Datenverkehr im Rahmen von VMware High Availability (HA), Migrationen, Klonen oder VMotion durchführen möchten, müssen Sie eine Verbindung konfigurieren, über die die verwalteten Hosts Daten empfangen können. Um eine Verbindung für den Empfang von Daten zu konfigurieren, öffnen Sie folgende Ports: n 902 (für Server-zu-Server-Migration- und Bereitstellungsdatenverkehr) n 2050-2250 (für HA-Datenverkehr) n 8000 (für VMotion) n 8042–8045 (für HA-Datenverkehr) Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewall-Administrator. Konfigurieren von Firewallports für unterstützte Dienste und Verwaltungs- Agenten Sie müssen in Ihrer Umgebung Firewalls so konfigurieren, dass die allgemein unterstützten Dienste und installierten Verwaltungs-Agenten akzeptiert werden. Obwohl ESXi selbst keine Firewall hat, müssen Sie in Ihrer Umgebung andere Firewalls so konfigurieren, dass Dienste und Verwaltungs-Agenten akzeptiert werden. In einer vSphere-Umgebung sind üblicherweise die folgenden Dienste und Agenten vorhanden: n NFS-Client (unsicherer Dienst) n NTP-Client n iSCSI-Software-Client n CIM-HTTP-Server (unsicherer Dienst) n CIM-HTTPS-Server n Syslog-Client HINWEIS Die aufgeführten Dienste und Agenten können sich ändern, sodass die Liste ggf. einige Dienste und Agenten nicht enthält. Zur Konfiguration und Aktivierung dieser Dienste sind gegebenenfalls weitere Aktivitäten erforderlich. TCP- und UDP-Ports für den Verwaltungszugriff Auf vCenter Server, ESXi-Hosts und andere Netzwerkkomponenten erfolgt der Zugriff über vorab festgelegte TCP- und UDP-Ports. Wenn Netzwerkkomponenten, die außerhalb einer Firewall liegen, verwaltet werden müssen, muss ggf. die Firewall neu konfiguriert werden, damit auf die entsprechenden Ports zugegriffen werden kann. Tabelle 12-1 enthält eine Auflistung von TCP- und UDP-Ports mit dem jeweiligen Zweck und Typ. 148 VMware, Inc.
Tabelle 12-1. TCP- und UDP-Ports Port Zweck 80 HTTP-Zugriff Nicht abgesicherter Standard-TCP-Webport, der normalerweise in Verbindung mit Port 443 als Front-End zum Zugriff auf ESXi-Netzwerke vom Internet aus verwendet wird. Port 80 leitet Datenverkehr auf eine HTTPS-Startseite (Port 443) um. WS-Verwaltung Art des Datenverkehrs Eingehendes TCP 123 NTP-Client Ausgehendes UDP 427 Der CIM-Client verwendet das Service Location Protocol, Version 2 (SLPv2), zum Ermitteln von CIM-Servern. 443 HTTPS-Zugriff vCenter Server-Zugriff auf ESXi-Hosts Standard-SSL-Webport. vSphere-Clientzugriff auf vCenter Server vSphere-Client -Zugriff auf ESXi-Hosts WS-Verwaltung vCenter Server-Zugriff auf vSphere Update Manager vSphere Converter-Zugriff auf vCenter Server 902 Hostzugriff auf andere Hosts für Migration und Bereitstellung. Authentifizierungsverkehr für ESXi- und Remotekonsolenverkehr (xinetd/ vmware-authd) vSphere-Client-Zugriff auf die Konsolen virtueller Maschinen (UDP) Statusaktualisierungsverbindung (Taktsignal) von ESXi mit dem vCenter Server 2049 Datenübertragungen von den NFS-Speichergeräten Dieser Port wird für die VMkernel-Schnittstelle verwendet. 2050–2250 Datenverkehr zwischen ESXi-Hosts für VMware High Availability (HA) und EMC Autostart Manager 3260 Transaktionen an die iSCSI-Speichergeräte. Dieser Port wird für die VMkernel-Schnittstelle verwendet. Kapitel 12 Absichern einer ESXi-Konfiguration Ein- und ausgehendes UDP Eingehendes TCP Eingehendes TCP, ausgehendes UDP Ein- und ausgehendes TCP Ausgehendes TCP, ein- und ausgehendes UDP Ausgehendes TCP 5900-5964 RFB-Protokoll, das von Verwaltungstools wie VNC verwendet wird Ein- und ausgehendes TCP 5989 CIM-XML-Übertragungen über HTTPS Ein- und ausgehendes TCP 8000 Anforderungen von VMotion. Ein- und ausgehendes TCP 8042–8045 Datenverkehr zwischen ESXi-Hosts für HA und EMC Autostart Manager Ausgehendes TCP, ein- und ausgehendes UDP 8100, 8200 Datenverkehr zwischen ESXi-Hosts für VMware-Fehlertoleranz Ausgehendes TCP, ein- und ausgehendes UDP Zusätzlich zu den aufgeführten TCP- und UDP-Ports können Sie andere Ports je nach Bedarf konfigurieren. Mit dem vSphere-Client können Sie Ports für installierte Verwaltungs-Agenten und unterstützte Dienste wie NFS freigeben. VMware, Inc. 149
- Seite 97 und 98: 3 Wenn neue Festplatten oder LUNs e
- Seite 99 und 100: Die von Ihnen in NFS-basierten Date
- Seite 101 und 102: 5 Legen Sie den Diagnosepartitionst
- Seite 103 und 104: Speicherverwaltung 9 Nachdem Sie Ih
- Seite 105 und 106: Unmounten von Datenspeichern Wenn S
- Seite 107 und 108: Option Beschreibung Freien Speicher
- Seite 109 und 110: 6 Wählen Sie unter „Optionen fü
- Seite 111 und 112: n Verarbeiten der E/A-Warteschlange
- Seite 113 und 114: 4 Wenn der E/A-Vorgang einen Fehler
- Seite 115 und 116: Abbildung 9-4. Software-iSCSI und F
- Seite 117 und 118: Anzeigen von Speichergerätepfaden
- Seite 119 und 120: Thin-Bereitstellung Wenn Sie eine v
- Seite 121 und 122: 3 Klicken Sie auf die Registerkarte
- Seite 123 und 124: Raw-Gerätezuordnung 10 Die Raw-Ger
- Seite 125 und 126: Dateizugriffsberechtigungen Die Raw
- Seite 127 und 128: n Keine Snapshots im physischen Kom
- Seite 129 und 130: Abbildung 10-4. Beispiel einer Name
- Seite 131 und 132: Verwalten zugeordneter LUNs Mithilf
- Seite 133 und 134: Sicherheit VMware, Inc. 133
- Seite 135 und 136: Sicherheit für ESXi-Systeme 11 Bei
- Seite 137 und 138: Jede virtuelle Maschine ist von den
- Seite 139 und 140: Abbildung 11-4. Konfigurierte DMZ a
- Seite 141 und 142: Interne virtuelle Maschinen Kapitel
- Seite 143 und 144: Absichern einer ESXi-Konfiguration
- Seite 145 und 146: Netzwerke, die über vCenter Server
- Seite 147: Herstellen einer Verbindung mit der
- Seite 151 und 152: VLANs sind eine Netzwerkarchitektur
- Seite 153 und 154: Schutz durch virtuelle Switches in
- Seite 155 und 156: Bei der Erstellung stimmen die gelt
- Seite 157 und 158: Aktivieren von Challenge-Handshake
- Seite 159 und 160: Authentifizierung und 13 Benutzerve
- Seite 161 und 162: Die von vCenter Server geführte Be
- Seite 163 und 164: Sie können über eine direkte Verb
- Seite 165 und 166: Hinzufügen von Benutzern zur Tabel
- Seite 167 und 168: Verschlüsselungs- und Sicherheitsz
- Seite 169 und 170: Hochladen eines Zertifikats und Sch
- Seite 171 und 172: Deaktivieren Sie SSL nur dann, wenn
- Seite 173 und 174: 5 Über den Befehl vifs können Sie
- Seite 175 und 176: Empfehlungen für den Schutz von 14
- Seite 177 und 178: Tabelle 14-4. Gemeinsame Komponente
- Seite 179 und 180: Aktivieren des Sperrmodus über den
- Seite 181 und 182: Entfernung überflüssiger Hardware
- Seite 183 und 184: Verhindern, dass Gastbetriebssystem
- Seite 185 und 186: Vorgehensweise Kapitel 14 Empfehlun
- Seite 187 und 188: Hostprofile VMware, Inc. 187
- Seite 189 und 190: Verwalten von Hostprofilen 15 Die H
- Seite 191 und 192: Vorgehensweise 1 Klicken Sie in der
- Seite 193 und 194: Tabelle 15-1. Unterprofilkonfigurat
- Seite 195 und 196: Übernehmen von Profilen Um einen H
- Seite 197 und 198: Verwalten von Profilen über einen
Tabelle 12-1. TCP- und UDP-Ports<br />
Port Zweck<br />
80 HTTP-Zugriff<br />
Nicht abgesicherter Standard-TCP-Webport, der normalerweise in Verbindung<br />
mit Port 443 als Front-End zum Zugriff auf <strong>ESXi</strong>-Netzwerke vom Internet aus<br />
verwendet wird. Port 80 leitet Datenverkehr auf eine HTTPS-Startseite (Port 443)<br />
um.<br />
WS-Verwaltung<br />
Art des Datenverkehrs<br />
Eingehendes TCP<br />
123 NTP-Client Ausgehendes UDP<br />
427 Der CIM-Client verwendet das Service Location Protocol, Version 2 (SLPv2), zum<br />
Ermitteln von CIM-Servern.<br />
443 HTTPS-Zugriff<br />
vCenter Server-Zugriff auf <strong>ESXi</strong>-Hosts<br />
Standard-SSL-Webport.<br />
vSphere-Clientzugriff auf vCenter Server<br />
vSphere-Client -Zugriff auf <strong>ESXi</strong>-Hosts<br />
WS-Verwaltung<br />
vCenter Server-Zugriff auf vSphere Update Manager<br />
vSphere Converter-Zugriff auf vCenter Server<br />
902 Hostzugriff auf andere Hosts <strong>für</strong> Migration und Bereitstellung.<br />
Authentifizierungsverkehr <strong>für</strong> <strong>ESXi</strong>- und Remotekonsolenverkehr (xinetd/<br />
vmware-authd)<br />
vSphere-Client-Zugriff auf die Konsolen virtueller Maschinen<br />
(UDP) Statusaktualisierungsverbindung (Taktsignal) von <strong>ESXi</strong> mit dem vCenter<br />
Server<br />
2049 Datenübertragungen von den NFS-Speichergeräten<br />
Dieser Port wird <strong>für</strong> die VMkernel-Schnittstelle verwendet.<br />
2050–2250 Datenverkehr zwischen <strong>ESXi</strong>-Hosts <strong>für</strong> <strong>VMware</strong> High Availability (HA) und<br />
EMC Autostart Manager<br />
3260 Transaktionen an die iSCSI-Speichergeräte.<br />
Dieser Port wird <strong>für</strong> die VMkernel-Schnittstelle verwendet.<br />
Kapitel 12 Absichern einer <strong>ESXi</strong>-Konfiguration<br />
Ein- und ausgehendes<br />
UDP<br />
Eingehendes TCP<br />
Eingehendes TCP,<br />
ausgehendes UDP<br />
Ein- und ausgehendes<br />
TCP<br />
Ausgehendes TCP,<br />
ein- und ausgehendes<br />
UDP<br />
Ausgehendes TCP<br />
5900-5964 RFB-Protokoll, das von Verwaltungstools wie VNC verwendet wird Ein- und ausgehendes<br />
TCP<br />
5989 CIM-XML-Übertragungen über HTTPS Ein- und ausgehendes<br />
TCP<br />
8000 Anforderungen von VMotion. Ein- und ausgehendes<br />
TCP<br />
8042–8045 Datenverkehr zwischen <strong>ESXi</strong>-Hosts <strong>für</strong> HA und EMC Autostart Manager Ausgehendes TCP,<br />
ein- und ausgehendes<br />
UDP<br />
8100, 8200 Datenverkehr zwischen <strong>ESXi</strong>-Hosts <strong>für</strong> <strong>VMware</strong>-Fehlertoleranz Ausgehendes TCP,<br />
ein- und ausgehendes<br />
UDP<br />
Zusätzlich zu den aufgeführten TCP- und UDP-Ports können Sie andere Ports je nach Bedarf konfigurieren.<br />
Mit dem vSphere-Client können Sie Ports <strong>für</strong> installierte Verwaltungs-Agenten und unterstützte Dienste wie<br />
NFS freigeben.<br />
<strong>VMware</strong>, Inc. 149