Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.3. ファイアウォールでクラスターコンポーネントを許可する iptables 設定

注記
クラスターコンポーネントの理想的なファイアウォール設定は、ローカル環境によって異なります。ここでは、ノードに複数のネットワークインターフェイスがあるかどうか、またはオフホストのファイアウォールがあるかどうかを検討しないといけない場合があります。この例では、Pacemaker クラスターで通常必要となるポートを開きますが、ローカル条件に合わせて変更する必要があります。
表1.1「High Availability Add-On で有効にするポート」 では、Red Hat High Availability Add-On で有効にするポートを示し、ポートの使用目的を説明します。以下のコマンドを実行し、firewalld デーモンでこのポートをすべて有効にできます。
# firewall-cmd --permanent --add-service=high-availability
# firewall-cmd --add-service=high-availability

表1.1 High Availability Add-On で有効にするポート

ポート必要になる場合
TCP 2224
すべてのノードで必須( pcsd Web UI で必要で、ノード間通信に必要)
任意のノードの pcs が、それ自体も含め、クラスター内のすべてのノードと通信できるように、ポート 2224 を開くことが重要です。Booth クラスターチケットマネージャーまたはクォーラムデバイスを使用する場合は、Booth Arbiter、クォーラムデバイスなどのすべての関連ホストで、ポート 2224 を開く必要があります。
TCP 3121
クラスターに Pacemaker リモートノードがある場合に、すべてのノードで必須です。
完全なクラスターノード上の Pacemaker の crmd デーモンは、ポート 3121 で Pacemaker リモートノードの pacemaker_remoted デーモンに接続します。クラスター通信に別のインターフェイスを使用する場合は、そのインターフェイスでポートを開くことのみが必要になります。少なくとも、ポートは、Pacemaker リモートノードの全クラスターノードに対して開いている必要があります。ユーザーは完全なノードとリモートノード間でホストを変換する可能性があるか、またはホストのネットワークを使用してコンテナー内でリモートノードを実行する可能性があるため、すべてのノードに対してポートを開くことは役に立ちます。ノード以外のホストにポートを開く必要はありません。
TCP 5403
corosync-qnetd でクォーラムデバイスを使用する場合は、クォーラムデバイスホストで必須です。デフォルト値は、corosync-qnetd コマンドの -p オプションで変更できます。
UDP 5404
corosync がマルチキャスト UDP に設定されている場合には、corosync ノードで必須です。
UDP 5405
すべての corosync ノードで必須( corosyncで必要)
TCP 21064
DLM に必要なリソース( clvmGFS2など)がクラスターに含まれる場合に、すべてのノードで必須です。
TCP 9929、UDP 9929
Booth チケットマネージャーを使用してマルチサイトクラスターを確立するときに、すべてのクラスターノード、および同じノードのいずれかからの接続に対して Booth arbitrator ノードで開いている必要があります。