1.3. ファイアウォールでクラスターコンポーネントを許可する iptables 設定

注記

クラスターコンポーネントの理想的なファイアウォール設定は、ローカル環境によって異なります。ここでは、ノードに複数のネットワークインターフェースがあるかどうか、またはオフホストのファイアウォールがあるかどうかを考慮する必要があります。ここの例では、Pacemaker クラスターが通常必要とするポートを開放するものが、ローカル条件に見合うように変更する必要があります。
表1.1「High Availability Add-On で有効にするポート」 では、Red Hat High Availability Add-On に有効化するポートと、使用するポートについて説明しています。また、以下のコマンドを実行して firewalld デーモンですべてのポートを有効化することもできます。
# firewall-cmd --permanent --add-service=high-availability
# firewall-cmd --add-service=high-availability

表1.1 High Availability Add-On で有効にするポート

ポート必要になる場合
TCP 2224
すべてのノードで必須 (pcsd Web UI で必要となり、ノード間通信に必須)
任意のノードの pcs が、それ自体も含め、クラスター内のすべてのノードに通信できる方法でポート 2224 を開くことは重要です。Booth クラスターチケットマネージャーまたはクォーラムデバイスを使用する場合は、Booth Arbiter、またはクォーラムデバイスなどのすべての関連ホストで、ポート 2224 を開く必要があります。
TCP 3121
クラスターに Pacemaker リモートノードがある場合にすべてのノードで必須です。
完全なクラスターノード上の Pacemaker の cmd デーモンは、ポート 3121 で Pacemaker リモートノードの pacemaker_remoted デーモンに通信できます。クラスターの通信に別個のインターフェースが使用される場合、ポートは単にそのインターフェースで開いておく必要があります。最低限でも、ポートは完全なクラスターノードに対して Pacemaker リモートノードで開いている必要があります。ユーザーは完全なノードとリモートノード間でホストを変換する可能性があるか、またはホストのネットワークを使用してコンテナー内でリモートノードを実行する可能性があるため、すべてのノードに対してポートを開くことは役に立ちます。ノード以外のホストに対してポートを開く必要はありません。
TCP 5403
corosync-qnetd でクォーラムデバイスを使用する場合にクォーラムデバイスで必須。デフォルト値は、corosync-qnetd コマンドの -p オプションを使用して変更できます。
UDP 5404
corosync がマルチキャスト UDP に設定されている場合は、corosync ノードで必須
UDP 5405
すべての corosync ノードで必須 (corosync で必要)
TCP 21064
DLM を必要とするリソースがクラスターに含まれる場合は、すべてのノードで必須です (例: clvm または GFS2)。