2.3.3. Red Hat Virtualization Manager ファイアウォールの要件
Red Hat Virtualization Manager では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。
engine-setup スクリプトはファイアウォールを自動的に設定できますが、iptables を使用している場合、これにより既存のファイアウォール設定が上書きされます。既存のファイアウォール設定を保持する場合は、Manager に必要なファイアウォールルールを手動で挿入する必要があります。engine-setup コマンドは、必要な iptables ルールのリストを /etc/ovirt-engine/iptables.example ファイルに保存します。firewalld を使用している場合、engine-setup は既存の設定を上書きしません。
本セクションに記載するファイアウォール設定は、デフォルトの設定を前提としています。
これらのファイアウォール要件の模式図が、https://access.redhat.com/articles/3932211 に記載されています。表に書かれた ID を使用して、模式図内の接続を探すことができます。
表2.4 Red Hat Virtualization Manager ファイアウォールの要件
| ID | ポート | プロトコル | 送信元 | 宛先 | 目的 | デフォルトで暗号化 |
|---|---|---|---|---|---|---|
| M1 | - | ICMP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Manager | オプション 診断に役立つ場合があります。 | ✕ |
| M2 | 22 | TCP | バックエンドの設定やソフトウェアのアップグレードなど、Manager のメンテナーンスに使うシステム | Red Hat Virtualization Manager | Secure Shell (SSH) アクセス オプション | ◯ |
| M3 | 2222 | TCP | 仮想マシンのシリアルコンソールにアクセスするクライアント | Red Hat Virtualization Manager | 仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス。 | ◯ |
| M4 | 80、443 | TCP | 管理ポータルのクライアント VM ポータルのクライアント Red Hat Virtualization Host Red Hat Enterprise Linux ホスト REST API クライアント | Red Hat Virtualization Manager | Manager に HTTP (ポート 80、暗号化なし) および HTTPS (ポート 443、暗号化あり) のアクセスを提供します。HTTP は接続を HTTPS にリダイレクトします。 | ◯ |
| M5 | 6100 | TCP | 管理ポータルのクライアント VM ポータルのクライアント | Red Hat Virtualization Manager |
Manager 上で WebSocket プロキシーを実行している場合に、Web ベースのコンソールクライアント ( | ✗ |
| M6 | 7410 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Manager |
ホストの Kdump が有効な場合には、Manager の fence_kdump リスナー用にこのポートを開きます。fence_kdump Advanced Configuration を参照してください。 | ✕ |
| M7 | 54323 | TCP | 管理ポータルのクライアント | Red Hat Virtualization Manager (ImageIO Proxy サーバー) |
ImageIO プロキシー ( | はい |
| M8 | 6442 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Open Virtual Network (OVN) southbound データベース | Open Virtual Network (OVN) データベースへの接続 | ◯ |
| M9 | 9696 | TCP | OVN 用外部ネットワークプロバイダーのクライアント | OVN 用外部ネットワークプロバイダー | OpenStack Networking API | ◯ engine-setup によって生成された設定による暗号化。 |
| M10 | 35357 | TCP | OVN 用外部ネットワークプロバイダーのクライアント | OVN 用外部ネットワークプロバイダー | OpenStack Identity API | ◯ engine-setup によって生成された設定による暗号化。 |
| M11 | 53 | TCP、UDP | Red Hat Virtualization Manager | DNS サーバー | 1023 より大きいポート番号からポート 53 への DNS ルックアップリクエストおよび応答。デフォルトで開いています。 | ✕ |
| M12 | 123 | UDP | Red Hat Virtualization Manager | NTP サーバー | 1023 より大きいポート番号からポート 123 への NTP リクエストおよび応答。デフォルトで開いています。 | ✕ |
-
デフォルトの設定では、OVN northbound データベース (6641) のクライアントは
ovirt-provider-ovnのみなので、OVN northbound データベースのポート (6641) は記載されていません。両者は同じホスト上で動作しているので、その通信はネットワークには現れません。 - デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上の DNS および NTP への送信トラフィックを許可します。発信トラフィックを無効にする場合には、Manager がリクエストを DNS および NTP サーバーに送付するように例外を設定します。他のノードでも DNS および NTP が必要な場合があります。その際には、それらのノードの要件を確認し、適切にファイアウォールを設定してください。
