Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
Red Hat OpenStack Platform director のファイアウォールルールの設定
コントローラーとコンピュートノードの間のファイアウォール設定
OpenStack Documentation Team
rhos-docs@redhat.com概要
1. Red Hat OpenStack Platform director のファイアウォールルールの設定
外部ファイアウォールを使用してコントローラーとコンピュートノード間のネットワークトラフィックを制御する director デプロイメントの場合には、以下のファイアウォールルールを設定して、デプロイメントが正常に機能できるようにする必要があります。
通信を中継するファイアウォールに以下のルールを実装すると、コントローラーおよびコンピュートノードの OpenStack サービスが相互に対話できるようになります。以下のサービスが対象となります。
- MariaDB Galera
- RabbitMQ
- Compute サービス
- Identity サービス
- Image サービス
- Object Storage
- OpenStack Networking
- Block Storage
- Telemetry
- DHCP
- TFTP など
| サービス | 送信元 | 送信先 | ネットワーク | プロトコル | ポート | 備考 |
|---|---|---|---|---|---|---|
|
mysql_galera |
コントローラー |
コントローラー |
内部 API |
TCP |
873 | |
|
mysql_galera |
コントローラー |
コントローラー |
内部 API |
TCP |
3306 |
MySQL |
|
mysql_galera |
コンピュート |
コントローラー |
内部 API |
TCP |
3306 |
MySQL |
|
mysql_galera |
コントローラー |
コントローラー |
内部 API |
TCP |
4444 | |
|
mysql_galera |
コントローラー |
コントローラー |
内部 API |
TCP |
4567 | |
|
mysql_galera |
コントローラー |
コントローラー |
内部 API |
TCP |
4568 | |
|
mysql_galera |
コントローラー |
コントローラー |
内部 API |
TCP |
9200 |
Galera-monitor |
|
VRRP |
コントローラー |
コントローラー |
内部 API |
VRRP | ||
|
haproxy_stats |
コントローラー |
コントローラー |
内部 API |
TCP |
1993 | |
|
Corosync |
コントローラー |
コントローラー |
内部 API |
TCP |
5404 |
Pacemaker クラスタリング |
|
Corosync |
コントローラー |
コントローラー |
内部 API |
TCP |
5405 |
Pacemaker クラスタリング |
|
redis |
コントローラー |
コントローラー |
内部 API |
TCP |
6379 |
内部サービスの連携 |
|
redis |
コントローラー |
コントローラー |
内部 API |
TCP |
26379 | |
|
rabbitmq |
コントローラー |
コントローラー |
内部 API |
TCP |
5672 |
Rabbitmq |
|
rabbitmq |
コンピュート |
コントローラー |
内部 API |
TCP |
5672 |
Rabbitmq |
|
rabbitmq |
コントローラー |
コントローラー |
内部 API |
TCP |
35672 | |
|
keystone (Identity サービス) |
パブリック |
コントローラー |
外部 |
TCP |
5000 |
パブリック API |
|
keystone |
コントローラー |
コントローラー |
内部 API |
TCP |
5000 |
パブリック API |
|
keystone |
コンピュート |
コントローラー |
内部 API |
TCP |
5000 |
パブリック API |
|
keystone |
コントローラー |
コントローラー |
内部 API |
TCP |
35357 |
管理 API |
|
keystone |
コンピュート |
コントローラー |
内部 API |
TCP |
35357 |
adminapi |
|
glance (Image サービス) |
パブリック |
コントローラー |
外部 |
TCP |
9292 |
パブリック API および管理 API |
|
glance |
コントローラー |
コントローラー |
内部 API |
TCP |
9292 |
パブリック API および管理 API |
|
glance |
コンピュート |
コントローラー |
内部 API |
TCP |
9292 |
パブリック API および管理 API |
|
glance |
コントローラー |
コントローラー |
内部 API |
TCP |
9191 |
Glance-registry |
|
glance |
コンピュート |
コントローラー |
内部 API |
TCP |
9191 |
Glance-registry |
|
nova (Compute) |
コントローラー |
compute |
内部 API |
TCP |
6080 |
nova-nonvncproxy |
|
nova |
パブリック |
コントローラー |
外部 |
TCP |
8773 |
nova_ec2 |
|
nova |
コントローラー |
コントローラー |
内部 API |
TCP |
8773 |
nova_ec2 |
|
nova |
コンピュート |
コントローラー |
内部 API |
TCP |
8773 |
nova_ec2 |
|
nova |
パブリック |
コントローラー |
外部 |
TCP |
8774 |
パブリック API および管理 API |
|
nova |
コントローラー |
コントローラー |
内部 API |
TCP |
8774 |
パブリック API および管理 API |
|
nova |
コンピュート |
コントローラー |
内部 API |
TCP |
8774 |
パブリック API および管理 API |
|
nova |
パブリック |
コントローラー |
外部 |
TCP |
8775 |
Nova-api |
|
nova |
コントローラー |
コントローラー |
内部 API |
TCP |
8775 |
Nova-api |
|
nova |
コンピュート |
コントローラー |
内部 API |
TCP |
8775 |
Nova-api |
|
Swift (Object Storage) |
コンピュート |
コントローラー |
内部 API |
TCP |
8080 |
Swift Proxy |
|
Swift |
コントローラー |
コントローラー |
内部 API |
TCP |
873 |
Rsync |
|
Swift |
コントローラー |
コントローラー |
内部 API |
TCP |
6000 |
オブジェクトサーバー |
|
Swift |
コントローラー |
コントローラー |
内部 API |
TCP |
6001 |
コンテナーサーバー |
|
Swift |
コントローラー |
コントローラー |
内部 API |
TCP |
6002 |
アカウントサーバー |
|
neutron_DHCP |
コンピュート |
コントローラー |
内部 API |
UDP |
68 | |
|
neutron_vxlan |
コントローラー |
コントローラー |
内部 API |
UDP |
4789 |
VXLAN |
|
neutron_vxlan |
コントローラー |
compute |
内部 API |
UDP |
4789 |
VXLAN |
|
neutron_vxlan |
コンピュート |
コントローラー |
内部 API |
UDP |
4789 |
VXLAN |
|
cinder (Block Storage) |
パブリック |
コントローラー |
外部 |
TCP |
8776 |
パブリック API および管理 API |
|
cinder |
コントローラー |
コントローラー |
内部 API |
TCP |
8776 |
パブリック API および管理 API |
|
cinder |
コンピュート |
コントローラー |
内部 API |
TCP |
8776 |
パブリック API および管理 API |
|
iSCSI |
コントローラー |
コントローラー |
内部 API |
TCP |
3260 | |
|
iSCSI |
コンピュート |
コントローラー |
内部 API |
TCP |
3260 | |
|
ceilometer (Telemetry) |
パブリック |
コントローラー |
外部 |
TCP |
8777 |
パブリック API および管理 API |
|
ceilometer |
コントローラー |
コントローラー |
内部 API |
TCP |
8777 |
パブリック API および管理 API |
|
ceilometer |
コンピュート |
コントローラー |
内部 API |
TCP |
8777 |
パブリック API および管理 API |
|
mongodb_config |
コントローラー |
コントローラー |
内部 API |
TCP |
27019 |
mongodb_config |
|
mongodb_sharding |
コントローラー |
コントローラー |
内部 API |
TCP |
27018 |
mongodb_sharding |
|
mongodb |
コントローラー |
コントローラー |
内部 API |
TCP |
27017 |
MongoDB |
|
heat (Orchestration) |
アンダークラウド |
コントローラー |
内部 API |
TCP |
8004 |
パブリック API および管理 API |
|
heat |
アンダークラウド |
コンピュート |
内部 API |
TCP |
8004 |
パブリック API および管理 API |
|
horizon (Dashboard) |
パブリック |
コントローラー |
外部 |
TCP |
80 |
GUI |
|
horizon |
パブリック |
コントローラー |
外部 |
TCP |
443 |
GUI |
|
SNMP |
コントローラー |
コンピュート |
内部 API |
UDP |
161 | |
|
DHCP |
アンダークラウド |
コントローラー |
プロビジョニング |
TCP |
67 |
オーバークラウドのプロビジョニング |
|
DHCP |
アンダークラウド |
コントローラー |
プロビジョニング |
UDP |
67 |
オーバークラウドのプロビジョニング |
|
DHCP |
アンダークラウド |
コンピュート |
プロビジョニング |
TCP |
67 |
オーバークラウドのプロビジョニング |
|
DHCP |
アンダークラウド |
コンピュート |
プロビジョニング |
UDP |
67 |
オーバークラウドのプロビジョニング |
|
IPMI |
アンダークラウド |
コントローラー |
プロビジョニング |
UDP |
623 |
オーバークラウドのプロビジョニング |
|
IPMI |
アンダークラウド |
コンピュート |
プロビジョニング |
UDP |
623 |
オーバークラウドのプロビジョニング |
|
TFTP |
アンダークラウド |
コントローラー |
プロビジョニング |
TCP |
69 |
オーバークラウドのプロビジョニング |
|
TFTP |
アンダークラウド |
コントローラー |
プロビジョニング |
UDP |
69 |
オーバークラウドのプロビジョニング |
|
TFTP |
アンダークラウド |
コンピュート |
プロビジョニング |
TCP |
69 |
オーバークラウドのプロビジョニング |
|
TFTP |
アンダークラウド |
コンピュート |
プロビジョニング |
UDP |
69 |
オーバークラウドのプロビジョニング |