Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

Red Hat OpenStack Platform director のファイアウォールルールの設定

Red Hat OpenStack Platform 9

コントローラーとコンピュートノードの間のファイアウォール設定

OpenStack Documentation Team

概要

本記事では、Red Hat OpenStack Platform director に必要なファイアウォールルールについて説明します。

1. Red Hat OpenStack Platform director のファイアウォールルールの設定

外部ファイアウォールを使用してコントローラーとコンピュートノード間のネットワークトラフィックを制御する director デプロイメントの場合には、以下のファイアウォールルールを設定して、デプロイメントが正常に機能できるようにする必要があります。

通信を中継するファイアウォールに以下のルールを実装すると、コントローラーおよびコンピュートノードの OpenStack サービスが相互に対話できるようになります。以下のサービスが対象となります。

  • MariaDB Galera
  • RabbitMQ
  • Compute サービス
  • Identity サービス
  • Image サービス
  • Object Storage
  • OpenStack Networking
  • Block Storage
  • Telemetry
  • DHCP
  • TFTP など
サービス送信元送信先ネットワークプロトコルポート備考

mysql_galera

コントローラー

コントローラー

内部 API

TCP

873

 

mysql_galera

コントローラー

コントローラー

内部 API

TCP

3306

MySQL

mysql_galera

コンピュート

コントローラー

内部 API

TCP

3306

MySQL

mysql_galera

コントローラー

コントローラー

内部 API

TCP

4444

 

mysql_galera

コントローラー

コントローラー

内部 API

TCP

4567

 

mysql_galera

コントローラー

コントローラー

内部 API

TCP

4568

 

mysql_galera

コントローラー

コントローラー

内部 API

TCP

9200

Galera-monitor

       

VRRP

コントローラー

コントローラー

内部 API

VRRP

  
       

haproxy_stats

コントローラー

コントローラー

内部 API

TCP

1993

 
       

Corosync

コントローラー

コントローラー

内部 API

TCP

5404

Pacemaker クラスタリング

Corosync

コントローラー

コントローラー

内部 API

TCP

5405

Pacemaker クラスタリング

       

redis

コントローラー

コントローラー

内部 API

TCP

6379

内部サービスの連携

redis

コントローラー

コントローラー

内部 API

TCP

26379

 
       

rabbitmq

コントローラー

コントローラー

内部 API

TCP

5672

Rabbitmq

rabbitmq

コンピュート

コントローラー

内部 API

TCP

5672

Rabbitmq

rabbitmq

コントローラー

コントローラー

内部 API

TCP

35672

 
       

keystone (Identity サービス)

パブリック

コントローラー

外部

TCP

5000

パブリック API

keystone

コントローラー

コントローラー

内部 API

TCP

5000

パブリック API

keystone

コンピュート

コントローラー

内部 API

TCP

5000

パブリック API

keystone

コントローラー

コントローラー

内部 API

TCP

35357

管理 API

keystone

コンピュート

コントローラー

内部 API

TCP

35357

adminapi

       

glance (Image サービス)

パブリック

コントローラー

外部

TCP

9292

パブリック API および管理 API

glance

コントローラー

コントローラー

内部 API

TCP

9292

パブリック API および管理 API

glance

コンピュート

コントローラー

内部 API

TCP

9292

パブリック API および管理 API

glance

コントローラー

コントローラー

内部 API

TCP

9191

Glance-registry

glance

コンピュート

コントローラー

内部 API

TCP

9191

Glance-registry

       

nova (Compute)

コントローラー

compute

内部 API

TCP

6080

nova-nonvncproxy

nova

パブリック

コントローラー

外部

TCP

8773

nova_ec2

nova

コントローラー

コントローラー

内部 API

TCP

8773

nova_ec2

nova

コンピュート

コントローラー

内部 API

TCP

8773

nova_ec2

nova

パブリック

コントローラー

外部

TCP

8774

パブリック API および管理 API

nova

コントローラー

コントローラー

内部 API

TCP

8774

パブリック API および管理 API

nova

コンピュート

コントローラー

内部 API

TCP

8774

パブリック API および管理 API

nova

パブリック

コントローラー

外部

TCP

8775

Nova-api

nova

コントローラー

コントローラー

内部 API

TCP

8775

Nova-api

nova

コンピュート

コントローラー

内部 API

TCP

8775

Nova-api

       

Swift (Object Storage)

コンピュート

コントローラー

内部 API

TCP

8080

Swift Proxy

Swift

コントローラー

コントローラー

内部 API

TCP

873

Rsync

Swift

コントローラー

コントローラー

内部 API

TCP

6000

オブジェクトサーバー

Swift

コントローラー

コントローラー

内部 API

TCP

6001

コンテナーサーバー

Swift

コントローラー

コントローラー

内部 API

TCP

6002

アカウントサーバー

       

neutron_DHCP

コンピュート

コントローラー

内部 API

UDP

68

 

neutron_vxlan

コントローラー

コントローラー

内部 API

UDP

4789

VXLAN

neutron_vxlan

コントローラー

compute

内部 API

UDP

4789

VXLAN

neutron_vxlan

コンピュート

コントローラー

内部 API

UDP

4789

VXLAN

       

cinder (Block Storage)

パブリック

コントローラー

外部

TCP

8776

パブリック API および管理 API

cinder

コントローラー

コントローラー

内部 API

TCP

8776

パブリック API および管理 API

cinder

コンピュート

コントローラー

内部 API

TCP

8776

パブリック API および管理 API

       

iSCSI

コントローラー

コントローラー

内部 API

TCP

3260

 

iSCSI

コンピュート

コントローラー

内部 API

TCP

3260

 
       

ceilometer (Telemetry)

パブリック

コントローラー

外部

TCP

8777

パブリック API および管理 API

ceilometer

コントローラー

コントローラー

内部 API

TCP

8777

パブリック API および管理 API

ceilometer

コンピュート

コントローラー

内部 API

TCP

8777

パブリック API および管理 API

mongodb_config

コントローラー

コントローラー

内部 API

TCP

27019

mongodb_config

mongodb_sharding

コントローラー

コントローラー

内部 API

TCP

27018

mongodb_sharding

mongodb

コントローラー

コントローラー

内部 API

TCP

27017

MongoDB

       

heat (Orchestration)

アンダークラウド

コントローラー

内部 API

TCP

8004

パブリック API および管理 API

heat

アンダークラウド

コンピュート

内部 API

TCP

8004

パブリック API および管理 API

       

horizon (Dashboard)

パブリック

コントローラー

外部

TCP

80

GUI

horizon

パブリック

コントローラー

外部

TCP

443

GUI

       

SNMP

コントローラー

コンピュート

内部 API

UDP

161

 
       

DHCP

アンダークラウド

コントローラー

プロビジョニング

TCP

67

オーバークラウドのプロビジョニング

DHCP

アンダークラウド

コントローラー

プロビジョニング

UDP

67

オーバークラウドのプロビジョニング

DHCP

アンダークラウド

コンピュート

プロビジョニング

TCP

67

オーバークラウドのプロビジョニング

DHCP

アンダークラウド

コンピュート

プロビジョニング

UDP

67

オーバークラウドのプロビジョニング

       

IPMI

アンダークラウド

コントローラー

プロビジョニング

UDP

623

オーバークラウドのプロビジョニング

IPMI

アンダークラウド

コンピュート

プロビジョニング

UDP

623

オーバークラウドのプロビジョニング

       

TFTP

アンダークラウド

コントローラー

プロビジョニング

TCP

69

オーバークラウドのプロビジョニング

TFTP

アンダークラウド

コントローラー

プロビジョニング

UDP

69

オーバークラウドのプロビジョニング

TFTP

アンダークラウド

コンピュート

プロビジョニング

TCP

69

オーバークラウドのプロビジョニング

TFTP

アンダークラウド

コンピュート

プロビジョニング

UDP

69

オーバークラウドのプロビジョニング

法律上の通知

Copyright © 2018 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.