4.7. Habilitación de puertos para el complemento de alta disponibilidad

La configuración ideal del cortafuegos para los componentes del clúster depende del entorno local, donde puede ser necesario tener en cuenta consideraciones tales como si los nodos tienen múltiples interfaces de red o si existe un cortafuegos fuera del host.

Si está ejecutando el demonio firewalld, ejecute los siguientes comandos para habilitar los puertos requeridos por el complemento de alta disponibilidad de Red Hat.

# firewall-cmd --permanent --add-service=high-availability
# firewall-cmd --add-service=high-availability

Es posible que tenga que modificar qué puertos están abiertos para adaptarse a las condiciones locales.

Nota

Puede determinar si el demonio firewalld está instalado en su sistema con el comando rpm -q firewalld. Si el demonio firewalld está instalado, puede determinar si se está ejecutando con el comando firewall-cmd --state.

Tabla 4.1, “Puertos a habilitar para el complemento de alta disponibilidad” muestra los puertos a habilitar para el Complemento de Alta Disponibilidad de Red Hat y proporciona una explicación de para qué se utiliza el puerto.

Tabla 4.1. Puertos a habilitar para el complemento de alta disponibilidad

PuertoCuando sea necesario

TCP 2224

Puerto por defecto pcsd requerido en todos los nodos (necesario para la UI Web pcsd y requerido para la comunicación entre nodos). Puede configurar el puerto pcsd mediante el parámetro PCSD_PORT en el archivo /etc/sysconfig/pcsd.

Es crucial abrir el puerto 2224 de forma que pcs desde cualquier nodo pueda hablar con todos los nodos del clúster, incluido él mismo. Cuando se utiliza el gestor de tickets del clúster de Booth o un dispositivo de quórum, se debe abrir el puerto 2224 en todos los hosts relacionados, como los árbitros de Booth o el host del dispositivo de quórum.

TCP 3121

Requerido en todos los nodos si el cluster tiene nodos Pacemaker Remote

El demonio pacemaker-based de Pacemaker en los nodos del cluster completo contactará con el demonio pacemaker_remoted en los nodos Pacemaker Remote en el puerto 3121. Si se utiliza una interfaz separada para la comunicación del clúster, el puerto sólo debe estar abierto en esa interfaz. Como mínimo, el puerto debe estar abierto en los nodos Pacemaker Remote hacia los nodos del cluster completo. Dado que los usuarios pueden convertir un host entre un nodo completo y un nodo remoto, o ejecutar un nodo remoto dentro de un contenedor utilizando la red del host, puede ser útil abrir el puerto en todos los nodos. No es necesario abrir el puerto a otros hosts que no sean nodos.

TCP 5403

Se requiere en el host del dispositivo de quórum cuando se utiliza un dispositivo de quórum con corosync-qnetd. El valor por defecto se puede cambiar con la opción -p del comando corosync-qnetd.

UDP 5404-5412

Se requiere en los nodos corosync para facilitar la comunicación entre nodos. Es crucial abrir los puertos 5404-5412 de forma que corosync desde cualquier nodo pueda hablar con todos los nodos del clúster, incluido él mismo.

TCP 21064

Se requiere en todos los nodos si el cluster contiene algún recurso que requiera DLM (como GFS2).

TCP 9929, UDP 9929

Se requiere que esté abierto en todos los nodos del clúster y en los nodos del árbitro de la cabina para las conexiones desde cualquiera de esos mismos nodos cuando se utiliza el gestor de tickets de la cabina para establecer un clúster multisitio.