Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
1.3. ファイアウォールでクラスターコンポーネントを許可する iptables 設定
注記
クラスターコンポーネントの理想的なファイアウォール設定は、ローカル環境によって異なります。ここでは、ノードに複数のネットワークインターフェイスがあるかどうか、またはオフホストのファイアウォールがあるかどうかを検討しないといけない場合があります。この例では、Pacemaker クラスターで通常必要となるポートを開きますが、ローカル条件に合わせて変更する必要があります。
表1.1「High Availability Add-On で有効にするポート」 では、Red Hat High Availability Add-On で有効にするポートを示し、ポートの使用目的を説明します。また、以下のコマンドを実行して firewalld デーモンですべてのポートを有効化することもできます。
#firewall-cmd --permanent --add-service=high-availability#firewall-cmd --add-service=high-availability
表1.1 High Availability Add-On で有効にするポート
| ポート | 必要になる場合 |
|---|---|
|
TCP 2224
|
すべてのノードで必須 (pcsd Web UI で必要となり、ノード間通信に必須)
任意のノードの pcs が、それ自体も含め、クラスター内のすべてのノードに通信できる方法でポート 2224 を開くことは重要です。Booth クラスターチケットマネージャーまたはクォーラムデバイスを使用する場合は、Booth Arbiter、クォーラムデバイスなどのすべての関連ホストで、ポート 2224 を開く必要があります。
|
|
TCP 3121
|
クラスターに Pacemaker リモートノードがある場合に、すべてのノードで必須です。
完全なクラスターノード上の Pacemaker の
cmd デーモンは、ポート 3121 で Pacemaker リモートノードの pacemaker_remoted デーモンに通信できます。クラスター通信に別のインターフェイスを使用する場合は、そのインターフェイスでポートを開くことのみが必要になります。少なくとも、ポートは、Pacemaker リモートノードの全クラスターノードに対して開いている必要があります。ユーザーは完全なノードとリモートノード間でホストを変換する可能性があるか、またはホストのネットワークを使用してコンテナー内でリモートノードを実行する可能性があるため、すべてのノードに対してポートを開くことは役に立ちます。ノード以外のホストにポートを開く必要はありません。
|
|
TCP 5403
| corosync-qnetd で、クォーラムデバイスを使用するクォーラムデバイスホストで必須です。デフォルト値は、corosync-qnetd コマンドの -p オプションで変更できます。
|
|
UDP 5404
| corosync がマルチキャスト UDP に設定されている場合は、corosync ノードで必須
|
|
UDP 5405
|
すべての corosync ノードで必須 (
corosync で必要)
|
|
TCP 21064
|
DLM を必要とするリソースがクラスターに含まれる場合は、すべてのノードで必須です (例:
clvm または GFS2)。
|
|
TCP 9929、UDP 9929
|
Booth チケットマネージャーを使用してマルチサイトクラスターを確立するときに、すべてのクラスターノード、および同じノードのいずれかからの接続に対して Booth arbitrator ノードで開いている必要があります。
|