2.3. 방화벽

2.3.1. Red Hat Virtualization Manager 방화벽 요구 사항

Red Hat Virtualization Manager가 시스템 방화벽을 통한 네트워크 트래픽을 허용하려면 여러 개의 포트를 열어야 합니다. engine-setup 스크립트를 사용해서 방화벽을 자동으로 설정할 수 있지만 이것은 기존 방화벽 설정을 모두 덮어쓰기합니다.
기존 방화벽 설정이 이미 있다면 Manager가 필요로 하는 방화벽 규칙을 사용자가 수동으로 입력해야 합니다. engine-setup 명령을 사용해서 필요한 iptables 규칙 목록을 /usr/share/ovirt-engine/conf/iptables.example 파일에 저장합니다.
다음 부분에 있는 방화벽 설정은 기본 설정을 전제로 합니다. 설치 시 기본 포트가 아닌 HTTPHTTPS 포트를 선택할 경우 방화벽 규칙을 수정해서 다음 목록의 기본 포트인 80443 포트가 아닌 실제 선택된 해당 포트에 네트워크 트래픽을 허용합니다.

표 2.6. Red Hat Virtualization Manager 방화벽 요구 사항

포트프로토콜소스대상목적
-ICMP
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Red Hat Virtualization Manager
Red Hat Virtualization Manager 등록 시 온라인 여부를 확인하기 위해 가상화 호스트가 Manager에게 ICMP 핑(ping) 요청을 보냅니다.
22TCP
백엔드 설정과 소프트웨어 업그레이드를 포함하는 Manager 관리 시스템
Red Hat Virtualization Manager
보안 쉘 (SSH) 액세스
선택 사항
2222TCP
가상 머신 직렬 콘솔에 액세스하는 클라이언트
Red Hat Virtualization Manager
가상 머신 직렬 콘솔 연결을 가능하게 하는 보안 쉘 (SSH) 액세스
80, 443TCP
관리 포털 클라이언트
사용자 포털 클라이언트
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
REST API 클라이언트
Red Hat Virtualization Manager
Manager에게 HTTPHTTPS 액세스 제공
6100TCP
관리 포털 클라이언트
사용자 포털 클라이언트
Red Hat Virtualization Manager
websocket 프록시가 Manager에서 실행중일 때 웹 기반 콘솔 클라이언트(noVNCspice-html5)에 websocket 프록시 액세스를 제공합니다. 그러나 websocket 프록시가 다른 호스트에서 실행중인 경우 해당 포트를 사용하지 않습니다.
7410UDP
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Red Hat Virtualization Manager
Manager가 Kdump 알림을 받을 수 있도록 반드시 열려 있어야 합니다.

중요

Red Hat Virtualization Manager가 NFS 스토리지를 내보내야 하는 ISO 스토리지 도메인과 같은 환경에서는 추가 포트가 방화벽을 통과하도록 허용해야 합니다. 사용중인 NFS 버전에 해당하는 포트에 방화벽 예외를 허가합니다:

NFSv4

  • NFSTCP 포트 2049

NFSv3

  • NFSTCPUDP 포트 2049
  • TCPUDP 포트 111 (rpcbind/sunrpc).
  • MOUNTD_PORT="port"로 지정된 TCPUDP 포트
  • STATD_PORT="port"로 지정된 TCPUDP 포트
  • LOCKD_TCPPORT="port"로 지정된 TCP 포트
  • LOCKD_UDPPORT="port"로 지정된 UDP 포트
MOUNTD_PORT, STATD_PORT, LOCKD_TCPPORT, 그리고 LOCKD_UDPPORT 포트는 모두 /etc/sysconfig/nfs 파일에 설정되어 있습니다.

2.3.2. 하이퍼바이저 방화벽 요구 사항

Red Hat Enterprise Linux 호스트와 Red Hat Virtualization Host(RHVH)가 시스템 방화벽을 통한 네트워크 트래픽을 허용하려면 여러 개의 포트를 열어야 합니다. Red Hat Virtualization Host의 경우 이런 방화벽 규칙이 자동 설정됩니다. 하지만 Red Hat Enterprise Linux 호스트의 경우 방화벽을 수동 설정해야 합니다.

표 2.7. 가상화 호스트 방화벽 요구 사항

포트프로토콜소스대상목적
22TCP
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
보안 쉘 (SSH) 액세스
선택 사항
2223TCP
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
가상 머신 직렬 콘솔 연결을 가능하게 하는 보안 쉘 (SSH) 액세스
161UDP
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Red Hat Virtualization Manager
단순 네트워크 관리 프로토콜(SNMP). 호스트에서 SNMP 트랩을 하나 이상의 외부 SNMP 관리자에게 보내는 경우에만 필요합니다.
선택 사항
5900 - 6923TCP
관리 포털 클라이언트
사용자 포털 클라이언트
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
VNCSPICE를 통한 원격 게스트 콘솔 액세스. 해당 포트가 열려 있어야 클라이언트가 가상 머신에 액세스할 수 있습니다.
5989TCP, UDP
Common Information Model Object Manager (CIMOM)
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Common Information Model Object Manager(CIMOM)가 호스트에 실행중인 가상 머신을 모니터링하는 데 사용됩니다. 사용자의 가상화 환경에서 CIMOM을 사용해서 가상 머신을 모니터링하는 경우에만 필요합니다.
선택 사항
16514TCP
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
libvirt을 사용한 가상 머신 마이그레이션
49152 - 49216TCP
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
VDSM을 사용한 가상 머신 마이그레이션 및 차단. 해당 포트가 열려 있어야 가상 머신의 자동 및 수동 마이그레이션이 가능합니다.
54321TCP
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
Manager와 다른 가상화 호스트와의 VDSM 통신

2.3.3. 디렉터리 서버 방화벽 요구 사항

Red Hat Virtualization을 하려면 디렉터리 서버가 사용자 인증을 지원해야 합니다. 디렉터리 서버 방화벽에 여러 개의 포트가 열려 있어야 Red Hat Virtualization Manager가 사용하는 GSS-API 인증을 지원할 수 있습니다.

표 2.8. 호스트 방화벽 요구 사항

포트프로토콜소스대상목적
88, 464TCP, UDP
Red Hat Virtualization Manager
디렉터리 서버
Kerberos 인증
389, 636TCP
Red Hat Virtualization Manager
디렉터리 서버
Lightweight Directory Access Protocol(LDAP) 및 SSL을 통한 LDAP.

2.3.4. 데이터베이스 서버 방화벽 요구 사항

Red Hat Virtualization은 원격 데이터베이스 서버의 사용을 지원합니다. Red Hat Virtualization 사용 시 원격 데이터베이스 서버를 사용하려면 해당 원격 데이터베이스 서버가 Manager로부터의 연결을 허용하는지 확인해야 합니다.

표 2.9. 호스트 방화벽 요구 사항

포트프로토콜소스대상목적
5432TCP, UDP
Red Hat Virtualization Manager
PostgreSQL 데이터베이스 서버
PostgreSQL 데이터베이스 연결에 사용할 기본 포트
설치 시 기본 옵션인 Manager 자체에 로컬 데이터베이스 서버를 사용하는 경우 추가 방화벽 규칙이 필요하지 않습니다.