2.3. ファイアウォール

2.3.1. Red Hat Virtualization Manager のファイアウォール要件

Red Hat Virtualization Manager では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。engine-setup スクリプトにより、ファイアウォールの自動設定が可能ですが、既存のファイアウォール設定が上書きされることになります。
既存のファイアウォール設定が存在する場合には、Manager に必要なファイアウォールルールを手動で追加する必要があります。engine-setup コマンドは /usr/share/ovirt-engine/conf/iptables.example ファイルで必要な iptables ルールの一覧を保存します。
本セクションに記載するファイアウォール設定は、デフォルトの設定を前提としています。インストール中にデフォルト以外の HTTP および HTTPS ポートを選択した場合は、ここに表示されているデフォルトポート (80 および 443) ではなく、選択したポートでネットワークトラフィックを許可するようにファイアウォールルールを適宜調整してください。

表2.7 Red Hat Virtualization Manager のファイアウォール要件

ポートプロトコル接続元接続先目的
-ICMP
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Red Hat Virtualization Manager
Red Hat Virtualization Manager への登録時に、仮想化ホストが ICMP ping 要求を Manager に送信してオンラインであることを確認します。
22TCP
バックエンドの設定やソフトウェアのアップグレードなど、Manager のメンテナンスに使うシステム
Red Hat Virtualization Manager
Secure Shell (SSH) アクセス
オプション
2222TCP
仮想マシンのシリアルコンソールにアクセスするクライアント
Red Hat Virtualization Manager
仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス
80, 443TCP
管理ポータルのクライアント
ユーザーポータルのクライアント
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
REST API クライアント
Red Hat Virtualization Manager
HTTP および HTTPS 経由で Manager にアクセスできるようにします。
6100TCP
管理ポータルのクライアント
ユーザーポータルのクライアント
Red Hat Virtualization Manager
Manager 上で websocket プロキシーを実行している場合に Web ベースのコンソールクライアント (noVNC および spice-html5) に対する websocket プロキシーアクセスを提供します。ただし、websocket プロキシーが別のホストで実行されている場合には、このポートは使用されません。
7410UDP
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Red Hat Virtualization Manager
Manager が kdump の通知を受信するには開放する必要があります。

重要

Red Hat Virtualization Manager が ISO ストレージドメインなどの NFS ストレージもエクスポートする必要がある環境では、別のポートもファイアウォールを通過できるように設定する必要があります。使用中の NFS バージョンに適用されるポートに対してファイアウォールの例外を許可します。

NFSv4

  • NFS 用の TCP ポート 2049

NFSv3

  • NFS 用の TCP および UDP ポート 2049
  • TCP および UDP ポート 111 (rpcbind/sunrpc)
  • MOUNTD_PORT="port" と指定した TCP および UDP ポート
  • STATD_PORT="port" と指定した TCP および UDP ポート
  • LOCKD_TCPPORT="port" と指定した TCP ポート
  • LOCKD_UDPPORT="port" と指定した UDP ポート
MOUNTD_PORTSTATD_PORTLOCKD_TCPPORTLOCKD_UDPPORT のポートは /etc/sysconfig/nfs ファイルで設定されます。

2.3.2. ハイパーバイザーのファイアウォール要件

Red Hat Enterprise Linux ホストおよび Red Hat Virtualization Host (RHVH) では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。Red Hat Virtualization Host の場合には、このファイアウォールルールは自動的に設定されますが、Red Hat Enterprise Linux ホストの場合には手動でファイアウォールを設定する必要があります。

表2.8 仮想化ホストのファイアウォール要件

ポートプロトコル接続元接続先目的
22TCP
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Secure Shell (SSH) アクセス
オプション
2223TCP
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス
161UDP
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Red Hat Virtualization Manager
Simple network management protocol (SNMP)。ホストから 1 つまたは複数の SNMP マネージャーに Simple Network Management Protocol のトラップを送信する場合にのみ必要です。
オプション
5900 - 6923TCP
管理ポータルのクライアント
ユーザーポータルのクライアント
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
VNC および SPICE を介したリモートゲストのコンソールアクセス。クライアントが仮想マシンに容易にアクセスできるように、これらのポートは開放しておく必要があります。
5989TCP、UDP
Common Information Model Object Manager (CIMOM)
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Common Information Model Object Managers (CIMOM) がホスト上で実行中の仮想マシンをモニタリングするのに使用します。このポートは、環境内の仮想マシンのモニタリングに CIMOM を使用する場合にのみ開放する必要があります。
オプション
9090TCP
Red Hat Virtualization Manager
クライアントマシン
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Cockpit ユーザーインターフェースへのアクセス
オプション
16514TCP
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
libvirt を使った仮想マシンの移行
49152 - 49216TCP
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
VDSM を使用した仮想マシンの移行とフェンシング。仮想マシンの自動および手動での移行を容易に実行できるように、これらのポートを開放しておく必要があります。
54321TCP
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
VDSM による Manager およびその他の仮想化ホストとの通信

2.3.3. ディレクトリーサーバーのファイアウォール要件

Red Hat Virtualization では、ユーザー認証をサポートするためのディレクトリーサーバーが必要です。Red Hat Virtualization Manager で使用される GSS-API 認証をサポートするには、ディレクトリーサーバーのファイアウォールで複数のポートを開放しておく必要があります。

表2.9 ホストのファイアウォール要件

ポートプロトコル接続元接続先目的
88、464TCP、UDP
Red Hat Virtualization Manager
ディレクトリーサーバー
Kerberos 認証
389、636TCP
Red Hat Virtualization Manager
ディレクトリーサーバー
Lightweight Directory Access Protocol (LDAP) と LDAP over SSL

2.3.4. データベースサーバーのファイアウォール要件

Red Hat Virtualization は、リモートデータベースサーバーの使用をサポートしています。Red Hat Virtualization でリモートデータベースサーバーを使用する場合には、そのリモートデータベースサーバーで Manager からの接続が確実に許可されるように設定しておく必要があります。

表2.10 ホストのファイアウォール要件

ポートプロトコル接続元接続先目的
5432TCP、UDP
Red Hat Virtualization Manager
PostgreSQL データベースサーバー
PostgreSQL データベース接続のデフォルトポート
インストール時にデフォルトオプションとして提供されるローカルデータベースサーバーを Manager 上で使用する場合には、他のファイアウォールルールを追加する必要はありません。