Comprendere la comunicazione tra vCenter e host ESXi

Dettagli: Scritto da Alessio Carta

L’accesso agli host ESXi da parte del vCenter Server è permesso da un servizio chiamato vpxa, che si attiva sull’host nel momento in cui questo è inserito nell’inventario del vCenter Server. Su ogni host ESXi è sempre in esecuzione un processo chiamato hostd, che permette l’esecuzione di operazioni e comandi relativi alle macchine virtuali e allo storage. Si tratta quindi di un processo responsabile della gestione della maggior parte delle operazioni interne a vSphere ESXi.

All'interno dell'host, l’agent vpxa dialoga con il processo hostd, e quest'ultimo si pone come intermediario verso il servizio vpxd in esecuzione sul vCenter Server, consentendo l’esecuzione delle operazioni impartite dal vCenter. Il processo vpxd permette quindi la connessione e il dialogo tra vCenter e host ESXi. Per quanto riguarda il traffico di rete tra il vCenter Server e gli host gestiti, e tra il vCenter Server e una macchina che esegue vSphere Client o vSphere Web Client, le principali porte da lasciare aperte sul firewall sono indicate nell’elenco che segue.

80 TCP - utilizzata per le connessioni dirette HTTP. Le richieste su questa porta sono comunque reindirizzate sulla porta HTTPS 443, per motivi di sicurezza.
389 TCP/UDP - utilizzata per le connessioni LDAP (Directory Services); se l’istanza LDAP viene servita da Active Directory di Microsoft Windows, la porta deve essere cambiata in un’altra compresa nell’intervallo 1025 – 65535.
443 TCP - utilizzata per le connessioni protette in HTTPS; il vSphere Client utilizza questa porta per le connessioni al vCenter e agli host ESXi.
636 TCP - utilizzata per le connessioni (protette in SSL) fra istanze di vCenter in Linked Mode.
902 TCP/UDP - utilizzata per lo scambio di informazioni e dati tra il vCenter Server e gli host gestiti. Inoltre, su questa porta gli host inviano un continuo heartbeat al vCenter Server, tramite protocollo UDP.
903 TCP - utilizzata da vSphere Client per visualizzare l’interfaccia console delle macchine virtuali.
8080 TCP - utilizzata per le connessioni Web Services HTTP (VMware VirtualCenter Management Web Services).
7005, 7009, 7080, 7444 TCP – utilizzate dal servizio vCenter Single Sign On.
9090, 9443 TCP – utilizzate da vSphere Web Client (HTTP e HTTPS).
10080, 10109, 10111, 10443 TCP – utilizzate dal servizio vCenter Inventory Service.

Le istruzioni presenti in questa pagina fanno riferimento alla versione 5.x di VMware vSphere.

L'autore

Alessio Carta

Responsabile sistemi presso un System Integrator con sede in Sardegna, si occupa di informatica e telecomunicazioni da oltre 10 anni. La sua formazione comprende una laurea in ingegneria, una specializazione IFTS in progettazione di reti telematiche, certificazioni Cisco CCNA, Cisco CCNA Security, MCP sui sistemi Windows Server e VCP su VMware vSphere (5.1, 5.5, 6.0). È istruttore presso una VMware IT Academy con sede a Cagliari.