2.3.3. Red Hat Virtualization Manager ファイアウォールの要件

Red Hat Virtualization Manager では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。

engine-setup スクリプトは、ファイアウォールを自動的に設定できます。

本セクションに記載するファイアウォール設定は、デフォルトの設定を前提としています。

注記

これらのファイアウォール要件の模式図が、https://access.redhat.com/articles/3932211 に記載されています。表に書かれた ID を使用して、模式図内の接続を探すことができます。

表2.3 Red Hat Virtualization Manager ファイアウォールの要件

IDポートプロトコル送信元宛先目的デフォルトで暗号化

M1

-

ICMP

Red Hat Virtualization Host

Red Hat Enterprise Linux ホスト

Red Hat Virtualization Manager

オプション

診断に役立つ場合があります。

M2

22

TCP

バックエンドの設定やソフトウェアのアップグレードなど、Manager のメンテナンスに使うシステム

Red Hat Virtualization Manager

Secure Shell (SSH) アクセス

オプション

M3

2222

TCP

仮想マシンのシリアルコンソールにアクセスするクライアント

Red Hat Virtualization Manager

仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス。

M4

80、443

TCP

管理ポータルのクライアント

VM ポータルのクライアント

Red Hat Virtualization Host

Red Hat Enterprise Linux ホスト

REST API クライアント

Red Hat Virtualization Manager

Manager に HTTP (ポート 80、暗号化なし) および HTTPS (ポート 443、暗号化あり) のアクセスを提供します。HTTP は接続を HTTPS にリダイレクトします。

M5

6100

TCP

管理ポータルのクライアント

VM ポータルのクライアント

Red Hat Virtualization Manager

Manager 上で WebSocket プロキシーを実行している場合に、Web ベースのコンソールクライアント (noVNC) に対する Websocket プロキシーアクセスを提供します。

No

M6

7410

UDP

Red Hat Virtualization Host

Red Hat Enterprise Linux ホスト

Red Hat Virtualization Manager

ホストの Kdump が有効な場合には、Manager の fence_kdump リスナー用にこのポートを開きます。「fence_kdump Advanced Configuration」 を参照してください。fence_kdump には、接続を暗号化する方法はありません。ただし、このポートは、適していないホストからのアクセスをブロックするように手動で設定できます。

M7

54323

TCP

管理ポータルのクライアント

Red Hat Virtualization Manager (ImageIO Proxy サーバー)

ImageIO プロキシー (ovirt-imageio-proxy) との通信に必要です。

はい

M8

6442

TCP

Red Hat Virtualization Host

Red Hat Enterprise Linux ホスト

Open Virtual Network (OVN) southbound データベース

Open Virtual Network (OVN) データベースへの接続

M9

9696

TCP

OVN 用外部ネットワークプロバイダーのクライアント

OVN 用外部ネットワークプロバイダー

OpenStack Networking API

◯ engine-setup によって生成された設定による暗号化。

M10

35357

TCP

OVN 用外部ネットワークプロバイダーのクライアント

OVN 用外部ネットワークプロバイダー

OpenStack Identity API

◯ engine-setup によって生成された設定による暗号化。

M11

53

TCP、UDP

Red Hat Virtualization Manager

DNS サーバー

1023 より大きいポート番号からポート 53 への DNS ルックアップリクエストおよび応答。デフォルトで開いています。

M12

123

UDP

Red Hat Virtualization Manager

NTP サーバー

1023 より大きいポート番号からポート 123 への NTP リクエストおよび応答。デフォルトで開いています。

No

注記
  • デフォルトの設定では、OVN northbound データベース (6641) のクライアントは ovirt-provider-ovn のみなので、OVN northbound データベースのポート (6641) は記載されていません。両者は同じホスト上で動作しているので、その通信はネットワークには現れません。
  • デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上の DNS および NTP への送信トラフィックを許可します。発信トラフィックを無効にする場合には、Manager がリクエストを DNS および NTP サーバーに送付するように例外を設定します。他のノードでも DNS および NTP が必要な場合があります。その際には、それらのノードの要件を確認し、適切にファイアウォールを設定してください。