Zerto’nun Disaster Recovery as a Service (DRaaS) mimarisi VMware vCenter, vCloud Director, ZVM (Zerto Virtual Manager), ZCC (Zerto Cloud Connector), ZCM (Zerto Cloud Manager) ve VRA (Virtual Replication Appliance) bileşenleri arasında çok katmanlı bir iletişim trafiği kurar.
Bu bileşenlerin hem site içi (Intra-Site) hem de site’lar arası (Inter-Site) sorunsuz haberleşebilmesi için belirli portların güvenlik duvarında açık olması gerekir.
Zerto 10.0_U4 sürümü için port gereksinimleri, kullanılan mimariye göre değişir:
- DRaaS Architecture (Customer ↔ MSP)
- ICDR (Intra Cloud DR) Architecture (MSP içi site’lar arası replikasyon)
Aşağıda iki mimariyi de kapsayan port açıklamaları, trafik yönleri ve ağ tasarım diyagramları yer almaktadır.
1. DRaaS Mimarisi – Customer ↔ MSP Site Port Gereksinimleri
Bu mimaride, müşteri ortamı kendi vCenter ve ZVM bileşenine sahiptir ve replikasyon trafiği MSP üzerindeki ZCC (Zerto Cloud Connector) aracılığıyla geçer.
| Port | Katman | Kullanım Alanı | Açıklama |
|---|---|---|---|
| 22 / SSH | Yönetim | ZVM ↔ ESXi, ZVM ↔ ZCC | VRA kurulumu ve yönetimi sırasında kullanılır. |
| 443 / HTTPS | Yönetim | ZVM ↔ vCenter, ZVM ↔ vCD, ZCM ↔ ZVM | API iletişimi ve MQTT tabanlı vCD bağlantısı. |
| 4005 / 4006 / 4009 (TLS over TCP) | Replikasyon | ZVM ↔ VRA (aynı site) | VRA’lar ile log toplama, checkpoint ve TLS iletişimi. |
| 4007 / 4008 (Unencrypted TCP) | Replikasyon | VRA ↔ VRA, ZCC ↔ VRA | Şifrelenmemiş veri transferi (test ve lab senaryoları). |
| 9007 / 9008 (Encrypted TCP) | Replikasyon | VRA ↔ VRA, ZCC ↔ VRA | Şifreli veri transferi – üretim ortamları için önerilen portlar. |
| 9071 / HTTPS | Yönetim | ZVM ↔ ZVM | Eşleştirilmiş ZVM’ler arası HTTPS iletişimi. |
| 9080 / HTTP | API | ZVM ↔ Dahili Servisler | DRaaS için dahili API erişimi (ICDR’de kullanılmaz). |
| 9081 / TCP | Yönetim | ZVM ↔ ZCC / ZVM ↔ ZVM | Geriye dönük uyumluluk (legacy DRaaS). |
| 9072–9079 / 9082+ | Replikasyon | VRA ↔ ZCC | Dört port her VRA için tahsis edilir. Yön: Cloud → Customer: 9072+, Customer → Cloud: 9082+ |
| 9180 / HTTP | Yedekleme | VBA ↔ VRA | Zerto Virtual Backup iletişimi. |
| 9669 / HTTPS | API | ZVM ↔ REST API / PowerShell | REST API ve Zerto UI iletişimi. |
| 9989 / HTTPS | Yönetim | Browser ↔ ZCM | Zerto Cloud Manager arayüz bağlantısı. |
Port yönlendirmelerinde sadece gerekli hedef IP’lere izin verin (örneğin yalnızca MSP yönetim ağı IP aralığı).
Tüm Zerto trafiği için “Allow TCP established/related sessions” kuralı oluşturun.
2. ICDR Mimarisi – MSP Site’lar Arası Port Gereksinimleri
ICDR (Intra-Cloud DR) senaryosu, aynı servis sağlayıcı (MSP) içinde yer alan birden fazla veri merkezi (örneğin Site 1 ↔ Site 2) arasında replikasyon trafiğini yönetir.
| Port | Katman | Açıklama |
|---|---|---|
| 443 / HTTPS | ZVM ↔ ZVM, ZVM ↔ vCenter/vCD | Yönetim iletişimi |
| 4005 / 4006 / 4009 | ZVM ↔ VRA | Site içi TLS replikasyon bağlantısı |
| 9007 / 9008 | VRA ↔ VRA | Şifreli replikasyon trafiği |
| 9779 / HTTPS | ZSSP (Zerto Self Service Portal) ↔ ZVM | Intra-cloud portal erişimi |
| 9989 / HTTPS | Browser ↔ ZCM | Merkezi yönetim arayüzü (ZCM UI) |
Not: ICDR yapısında 9080 portu devre dışıdır, çünkü DRaaS API trafiği yalnızca müşteri tarafı için geçerlidir.
Port Kullanım Yönleri (Directionality)
Zerto port trafiği yönlüdür. Aşağıdaki tablo müşteri ve MSP arasındaki port yönünü açıkça gösterir:
| Port | Diagram Reference # | Description |
| 22 | 9, 24 | During Virtual Replication Appliance (VRA) installation on ESXi 5.1 and higher for communication between the Zerto Virtual Manager (ZVM) and the ESXi hosts IPs and for ongoing communication between the ZVM in the cloud site – but not the customer site – and a Zerto Cloud Connector. |
| 443 | 2, 6, 8, 18, 19, 20 | •During VRA installation on ESX/ESXi hosts for communication between the Zerto Virtual Manager and the ESX/ESXi hosts IPs and for ongoing communication between the Zerto Virtual Manager and vCenter Server and vCloud Director.•MQTT communication between the Zerto Virtual Manager and vCloud Director.•Zerto Cloud Manager and Zerto Virtual Manager. The communication from the ZCM to the ZVM is via this port. |
| 4005 | 10 | Log collection between the Zerto Virtual Manager and Virtual Replication Appliances on the same site , using TLS over TCP communication. |
| 4006 | 11 | TLS over TCP communication between the Zerto Virtual Manager and Virtual Replication Appliances on the same site. |
| 4007 | 16, 21 | Unencrypted TCP communication between protecting and recovering VRAs and between a Zerto Cloud Connector and VRAs. |
| 4008 | 17, 25 | Unencrypted TCP communication between VRAs to pass data of protected virtual machines to a VRA on a recovery site and between a Zerto Cloud Connector and VRAs. |
| 4009 | 12 | TLS over TCP communication between the Zerto Virtual Manager and site Virtual Replication Appliances to handle checkpoints. |
| 7073 | Internal port, used only on the Zerto Virtual Manager VM. Used for communication with the service in charge of collecting data for the Zerto Resource Planner.Note: Unless you select the checkbox ‘Enable Support notification and product improvement feedback’, data is not transmitted to Zerto Analytics. | |
| 8100 | – | Communication between the Zerto Virtual Manager and the System Center Virtual Machine Manager in a customer site running Zerto Virtual Replication with Hyper-V. |
| 9007 | 16, 21 | Encrypted TCP communication between protecting and recovering VRAs and between a Zerto Cloud Connector and VRAs. |
| 9008 | 17, 25 | Encrypted TCP communication between VRAs to pass data of protected virtual machines to a VRA on a recovery site and between a Zerto Cloud Connector and VRAs. |
| 9071* | HTTPS communication between paired ZVMs. | |
| 9080 | 1, 13, 15 | HTTP communication between the Zerto Virtual Manager and Zerto internal APIs which should only be available to a customer using DRaaS and not ICDR. |
| 9081 | 7, 23, 27 | TCP communication between Zerto Virtual Managers, and between a customer Zerto Virtual Manager and a Zerto Cloud Connector, maintained for backward compatibility purposes.This port must not be changed when providing DRaaS. |
| 9072 to 9079, 9082 and up | 22, 26, 28, 29 | Four ports for each VRA (one each for ports 4007, 4008, 9007 and 9008) accessed via the Zerto Cloud Connector installed by the Managed Service Provider.•There is directionality to these ports.•From client site to Zerto Cloud Connector, the ports are 9082 and up.•From cloud site toZerto Cloud Connector, the ports are 9072 and up.For example:If Customer A network has 3 VRAs and customer B network has 2 VRAs and the Managed Service Provider management network has 4 VRAs, then the following ports must be open in the firewall for each cloud:The Managed Service Provider’s VRAs need to use 12 ports to reach customer A’s VRAs, while customer A’s VRAs need 16 ports to reach the cloud’s VRAs.The Managed Service Provider’s VRAs need to use 8 ports to reach customer B’s VRAs, while customer B’s VRAs need 16 ports to reach the cloud’s VRAs. |
| 9180 | 32 | Communication between the VBA and VRA. |
| 9669 | 3, 4, 5, 1 | HTTPS communication between:•Machines running Zerto User Interface and Zerto Virtual Manager•Zerto Virtual Manager and Zerto REST APIs, cmdlets. |
| 9989 | 31 | HTTPS communication between the browser and the Zerto Cloud Manager. |
Kaynak : https://help.zerto.com/bundle/Prereq.MSP.HTML.10.0_U4/page/Open_Firewall_Ports.htm