1.6. ポートとファイアウォールの要件
Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。
この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。
統合 Capsule
Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。
Capsule のクライアント
Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーとポート接続の図に関する詳細は、Satellite の概要、概念、およびデプロイメントの考慮事項 の Capsule のネットワーク を参照してください。
使用している設定に応じて、必要なポートは変わることがあります。
以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。
表1.3 Satellite Server の受信トラフィック
送信先ポート | プロトコル | サービス | ソース | 用途 | 説明 |
53 | TCP および UDP | DNS | DSN サーバーおよびクライアント | 名前解決 | DNS (オプション) |
67 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
69 | UDP | TFTP | クライアント | TFTP サーバー (オプション) | |
443 | TCP | HTTPS | Capsule | Red Hat Satellite API | Capsule からの通信 |
443、80 | TCP | HTTPS, HTTP | クライアント | グローバル登録 | Satellite へのホストの登録 ポート 443 は、登録の開始、ファクトのアップロード、およびインストールされたパッケージおよびトレースの送信に必要です。
ポート 80 は、 |
443 | TCP | HTTPS | Red Hat Satellite | コンテンツミラーリング | 管理 |
443 | TCP | HTTPS | Red Hat Satellite | Capsule API | スマートプロキシー機能 |
443、80 | TCP | HTTPS, HTTP | Capsule | コンテンツの取得 | コンテンツ |
443、80 | TCP | HTTPS, HTTP | クライアント | コンテンツの取得 | コンテンツ |
1883 | TCP | MQTT | クライアント | プルベースの REX (オプション) | REX ジョブ通知用のコンテンツホスト (オプション) |
5646、5647 | TCP | AMQP | Capsule | Katello Agent | Satellite 上の Qpid ディスパッチルーターへのメッセージの転送 (オプション) |
5910 - 5930 | TCP | HTTPS | ブラウザー | コンピュートリソースの仮想コンソール | |
8000 | TCP | HTTP | クライアント | プロビジョニングテンプレート | クライアントインストーラー、iPXE または UEFI HTTP ブートのテンプレート取得 |
8000 | TCP | HTTPS | クライアント | PXE ブート | インストール |
8140 | TCP | HTTPS | クライアント | puppet-agent | クライアントの更新 (オプション) |
9090 | TCP | HTTPS | クライアント | OpenSCAP | クライアントの設定 |
9090 | TCP | HTTPS | 検出されたノード | 検出 | ホストの検出とプロビジョニング |
9090 | TCP | HTTPS | Red Hat Satellite | Capsule API | Capsule の機能 |
Satellite Server に直接接続されたマネージドホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。
DHCP Capsule は、DHCP IPAM が設定されたサブネット内のホストに対して ICMP ping または TCP Echo 接続の試行を実行し、使用が検討されている IP アドレスが空いているかどうかを確認します。この動作は、satellite-installer --foreman-proxy-dhcp-ping-free-ip=false
を使用してオフにできます。
発信トラフィックの一部は Satellite に戻り、内部通信とセキュリティー操作を有効にします。
表1.4 Satellite Server の発信トラフィック
送信先ポート | プロトコル | サービス | 宛先 | 用途 | 説明 |
---|---|---|---|---|---|
ICMP | ping | クライアント | DHCP | 解放されている IP チェック (オプション) | |
7 | TCP | echo | クライアント | DHCP | 解放されている IP チェック (オプション) |
22 | TCP | SSH | ターゲットホスト | リモート実行 | ジョブの実行 |
22, 16514 | TCP | SSH SSH/TLS | Compute Resource (コンピュートリソース) | libvirt のコンピュートリソースに対する Satellite による通信 | |
53 | TCP および UDP | DNS | インターネット上の DNS サーバー | DNS サーバー | DNS レコードの解決 (オプション) |
53 | TCP および UDP | DNS | DNS サーバー | --capsule-dns | DNS 競合の検証 (オプション) |
53 | TCP および UDP | DNS | DNS サーバー | オーケストレーション | DNS 競合の検証 |
68 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
80 | TCP | HTTP | リモートリポジトリー | コンテンツ同期 | リモート YUM リポジトリー |
389、636 | TCP | LDAP、LDAPS | 外部 LDAP サーバー | LDAP |
LDAP 認証。外部認証が有効になっている場合にのみ必要です。 |
443 | TCP | HTTPS | Satellite | Capsule | Capsule 設定管理 テンプレートの取得 OpenSCAP リモート実行結果のアップロード |
443 | TCP | HTTPS | Amazon EC2, Azure, Google GCE | コンピュートリソース | 仮想マシンのインタラクション (クエリー/作成/破棄) (オプション) |
443 | TCP | HTTPS | Capsule | コンテンツのミラーリング | 開始 |
443 | TCP | HTTPS | Infoblox DHCP サーバー | DHCP 管理 | DHCP に Infoblox を使用する場合、DHCP リースの管理 (オプション) |
623 | クライアント | 電源管理 | BMC のオン/オフ/サイクル/ステータス | ||
5000 | TCP | HTTPS | OpenStack Compute Resource | コンピュートリソース | 仮想マシンのインタラクション (クエリー/作成/破棄) (オプション) |
5646 | TCP | AMQP | Satellite Server | Katello Agent | Capsule の Qpid ディスパッチルーターへのメッセージの転送 (オプション) |
5671 | Qpid | リモートインストール | インストールコマンドのクライアントへの送信 | ||
5671 | ディスパッチルーター (ハブ) | リモートインストール | Satellite 上のディスパッチルーターへのメッセージの転送 | ||
5671 | Satellite Server | Katello エージェントのリモートインストール | インストールコマンドのクライアントへの送信 | ||
5671 | Satellite Server | Katello エージェントのリモートインストール | Satellite 上のディスパッチルーターへのメッセージの転送 | ||
5900 – 5930 | TCP | SSL/TLS | ハイパーバイザー | noVNC コンソール | noVNC コンソールの起動 |
7911 | TCP | DHCP、OMAPI | DHCP サーバー | DHCP |
DHCP ターゲットは、
ISC と |
8443 | TCP | HTTPS | クライアント | 検出 | Capsule は、検出されたホストに再起動コマンドを送信する (オプション) |
9090 | TCP | HTTPS | Capsule | Capsule API | Capsule の管理 |