2.3.3. Red Hat Virtualization Manager 방화벽 요구 사항

Red Hat Virtualization Manager를 사용하려면 시스템 방화벽을 통한 네트워크 트래픽을 허용하기 위해 여러 포트를 열어야 합니다.

engine-setup 스크립트는 방화벽을 자동으로 구성할 수 있지만 iptables 를 사용하는 경우 기존 방화벽 구성을 덮어씁니다. 기존 방화벽 구성을 유지하려면 Manager에 필요한 방화벽 규칙을 수동으로 삽입해야 합니다. engine-setup 명령은 /etc/ovirt-engine/ iptables.example 파일에 필요한 iptables 규칙 목록을 저장합니다. firewalld 를 사용하는 경우engine-setup 은 기존 구성을 덮어쓰지 않습니다.

여기에 설명된 방화벽 구성은 기본 구성을 가정합니다.

참고

이러한 방화벽 요구 사항의 다이어그램은 https://access.redhat.com/articles/3932211 에서 확인할 수 있습니다. 테이블의 ID를 사용하여 다이어그램에서 연결을 조회할 수 있습니다.

표 2.4. Red Hat Virtualization Manager 방화벽 요구 사항

ID포트프로토콜소스대상목적기본적으로 암호화

M1

-

ICMP

Red Hat Virtualization 호스트

Red Hat Enterprise Linux 호스트

Red Hat Virtualization Manager

선택 사항:

진단에 도움이 될 수 있습니다.

없음

M2

22

TCP

백엔드 구성 및 소프트웨어 업그레이드를 포함한 관리자 유지 관리에 사용되는 시스템.

Red Hat Virtualization Manager

SSH(Secure Shell) 액세스.

선택 사항:

있음

M3

2222

TCP

가상 머신 직렬 콘솔에 액세스하는 클라이언트입니다.

Red Hat Virtualization Manager

가상 머신 직렬 콘솔에 연결할 수 있도록 SSH(Secure Shell) 액세스.

있음

M4

80, 443

TCP

관리 포털 클라이언트

VM 포털 클라이언트

Red Hat Virtualization 호스트

Red Hat Enterprise Linux 호스트

REST API 클라이언트

Red Hat Virtualization Manager

Manager에 HTTP(포트 80, 암호화되지 않음) 및 HTTPS(포트 443, 암호화된) 액세스를 제공합니다. HTTP는 연결을 HTTPS로 리디렉션합니다.

있음

M5

6100

TCP

관리 포털 클라이언트

VM 포털 클라이언트

Red Hat Virtualization Manager

Websocket 프록시가 Manager에서 실행되는 경우 웹 기반 콘솔 클라이언트인 noVNC 에 대한 websocket 프록시 액세스를 제공합니다. 그러나 websocket 프록시가 다른 호스트에서 실행 중인 경우 이 포트는 사용되지 않습니다.

없음

M6

7410

UDP

Red Hat Virtualization 호스트

Red Hat Enterprise Linux 호스트

Red Hat Virtualization Manager

호스트에서 Kdump가 활성화된 경우 Manager의 fence_kdump 리스너에 대해 이 포트를 엽니다. fence_kdump 고급 구성을 참조하십시오. fence_kdump 는 연결을 암호화하는 방법을 제공하지 않습니다. 그러나 자격이 없는 호스트의 액세스를 차단하도록 이 포트를 수동으로 구성할 수 있습니다.

없음

M7

54323

TCP

관리 포털 클라이언트

Red Hat Virtualization Manager (ImageIO Proxy 서버)

ImageIO 프록시(ovirt-imageio-proxy)와의 통신에 필요합니다.

있음

M8

6442

TCP

Red Hat Virtualization 호스트

Red Hat Enterprise Linux 호스트

OVN(Open Virtual Network) southbound 데이터베이스

OVN(Open Virtual Network) 데이터베이스에 연결

있음

M9

9696

TCP

OVN용 외부 네트워크 공급자 클라이언트

OVN용 외부 네트워크 공급자

OpenStack Networking API

예. engine-setup으로 생성된 구성입니다.

M10

35357

TCP

OVN용 외부 네트워크 공급자 클라이언트

OVN용 외부 네트워크 공급자

OpenStack ID API

예. engine-setup으로 생성된 구성입니다.

M11

53

TCP, UDP

Red Hat Virtualization Manager

DNS 서버

DNS 조회는 1023개 이상의 포트에서 포트 53으로, 응답에 요청합니다. 기본적으로 엽니다.

없음

M12

123

UDP

Red Hat Virtualization Manager

NTP 서버

NTP는 1023 이상의 포트에서 포트 123 및 응답에 요청합니다. 기본적으로 엽니다.

없음

참고
  • 기본 구성에서 OVN northbound 데이터베이스(6641)에 대한 유일한 클라이언트는 ovirt-provider-ovn 이므로 OVN northbound 데이터베이스(6641)의 포트는 나열되지 않습니다. 둘 다 동일한 호스트에서 실행되기 때문에 통신은 네트워크에 표시되지 않습니다.
  • 기본적으로 Red Hat Enterprise Linux는 모든 대상 주소의 DNS 및 NTP로 아웃바운드 트래픽을 허용합니다. 발신 트래픽을 비활성화하는 경우 Manager에서 DNS 및 NTP 서버에 요청을 보내는 예외를 만듭니다. 다른 노드에도 DNS 및 NTP가 필요할 수 있습니다. 이 경우 해당 노드의 요구 사항을 확인하고 그에 따라 방화벽을 구성합니다.