2.3.3. Red Hat Virtualization Manager 방화벽 요구 사항
Red Hat Virtualization Manager를 사용하려면 시스템 방화벽을 통한 네트워크 트래픽을 허용하기 위해 여러 포트를 열어야 합니다.
engine-setup
스크립트는 방화벽을 자동으로 구성할 수 있지만 iptables 를 사용하는 경우 기존 방화벽 구성을 덮어씁니다. 기존 방화벽 구성을 유지하려면 Manager에 필요한 방화벽 규칙을 수동으로 삽입해야 합니다. engine-setup
명령은 /etc/ovirt-engine/ iptables.example 파일에 필요한 iptables 규칙 목록을 저장합니다. firewalld 를 사용하는 경우engine-setup
은 기존 구성을 덮어쓰지 않습니다.
여기에 설명된 방화벽 구성은 기본 구성을 가정합니다.
이러한 방화벽 요구 사항의 다이어그램은 https://access.redhat.com/articles/3932211 에서 확인할 수 있습니다. 테이블의 ID를 사용하여 다이어그램에서 연결을 조회할 수 있습니다.
표 2.4. Red Hat Virtualization Manager 방화벽 요구 사항
ID | 포트 | 프로토콜 | 소스 | 대상 | 목적 | 기본적으로 암호화 |
---|---|---|---|---|---|---|
M1 | - | ICMP | Red Hat Virtualization 호스트 Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Manager | 선택 사항: 진단에 도움이 될 수 있습니다. | 없음 |
M2 | 22 | TCP | 백엔드 구성 및 소프트웨어 업그레이드를 포함한 관리자 유지 관리에 사용되는 시스템. | Red Hat Virtualization Manager | SSH(Secure Shell) 액세스. 선택 사항: | 있음 |
M3 | 2222 | TCP | 가상 머신 직렬 콘솔에 액세스하는 클라이언트입니다. | Red Hat Virtualization Manager | 가상 머신 직렬 콘솔에 연결할 수 있도록 SSH(Secure Shell) 액세스. | 있음 |
M4 | 80, 443 | TCP | 관리 포털 클라이언트 VM 포털 클라이언트 Red Hat Virtualization 호스트 Red Hat Enterprise Linux 호스트 REST API 클라이언트 | Red Hat Virtualization Manager | Manager에 HTTP(포트 80, 암호화되지 않음) 및 HTTPS(포트 443, 암호화된) 액세스를 제공합니다. HTTP는 연결을 HTTPS로 리디렉션합니다. | 있음 |
M5 | 6100 | TCP | 관리 포털 클라이언트 VM 포털 클라이언트 | Red Hat Virtualization Manager |
Websocket 프록시가 Manager에서 실행되는 경우 웹 기반 콘솔 클라이언트인 | 없음 |
M6 | 7410 | UDP | Red Hat Virtualization 호스트 Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Manager |
호스트에서 Kdump가 활성화된 경우 Manager의 fence_kdump 리스너에 대해 이 포트를 엽니다. fence_kdump 고급 구성을 참조하십시오. | 없음 |
M7 | 54323 | TCP | 관리 포털 클라이언트 | Red Hat Virtualization Manager (ImageIO Proxy 서버) |
ImageIO 프록시( | 있음 |
M8 | 6442 | TCP | Red Hat Virtualization 호스트 Red Hat Enterprise Linux 호스트 | OVN(Open Virtual Network) southbound 데이터베이스 | OVN(Open Virtual Network) 데이터베이스에 연결 | 있음 |
M9 | 9696 | TCP | OVN용 외부 네트워크 공급자 클라이언트 | OVN용 외부 네트워크 공급자 | OpenStack Networking API | 예. engine-setup으로 생성된 구성입니다. |
M10 | 35357 | TCP | OVN용 외부 네트워크 공급자 클라이언트 | OVN용 외부 네트워크 공급자 | OpenStack ID API | 예. engine-setup으로 생성된 구성입니다. |
M11 | 53 | TCP, UDP | Red Hat Virtualization Manager | DNS 서버 | DNS 조회는 1023개 이상의 포트에서 포트 53으로, 응답에 요청합니다. 기본적으로 엽니다. | 없음 |
M12 | 123 | UDP | Red Hat Virtualization Manager | NTP 서버 | NTP는 1023 이상의 포트에서 포트 123 및 응답에 요청합니다. 기본적으로 엽니다. | 없음 |
-
기본 구성에서 OVN northbound 데이터베이스(6641)에 대한 유일한 클라이언트는
ovirt-provider-ovn
이므로 OVN northbound 데이터베이스(6641)의 포트는 나열되지 않습니다. 둘 다 동일한 호스트에서 실행되기 때문에 통신은 네트워크에 표시되지 않습니다. - 기본적으로 Red Hat Enterprise Linux는 모든 대상 주소의 DNS 및 NTP로 아웃바운드 트래픽을 허용합니다. 발신 트래픽을 비활성화하는 경우 Manager에서 DNS 및 NTP 서버에 요청을 보내는 예외를 만듭니다. 다른 노드에도 DNS 및 NTP가 필요할 수 있습니다. 이 경우 해당 노드의 요구 사항을 확인하고 그에 따라 방화벽을 구성합니다.