Red Hat Training

A Red Hat training course is available for RHEL 8

4.7. Habilitação de portas para o Add-On de Alta Disponibilidade

A configuração ideal de firewall para componentes de cluster depende do ambiente local, onde talvez seja necessário levar em conta considerações como, por exemplo, se os nós têm múltiplas interfaces de rede ou se há firewalls fora do host.

Se você estiver executando o daemon firewalld, execute os seguintes comandos para habilitar as portas que são exigidas pelo Add-On de Alta Disponibilidade da Red Hat. 

# firewall-cmd --permanent --add-service=high-availability
# firewall-cmd --add-service=high-availability

Talvez seja necessário modificar quais portos estão abertos para atender às condições locais.

Nota

Você pode determinar se o daemon firewalld está instalado em seu sistema com o comando rpm -q firewalld. Se o daemon firewalld estiver instalado, você pode determinar se ele está rodando com o comando firewall-cmd --state.

Tabela 4.1, “Portos que possibilitam um suplemento de alta disponibilidade” mostra os portos a serem habilitados para o Red Hat High Availability Add-On e fornece uma explicação para o que o porto é usado.

Tabela 4.1. Portos que possibilitam um suplemento de alta disponibilidade

PortoQuando necessário

TCP 2224

Padrão pcsd porta necessária em todos os nós (necessária pela interface Web do pcsd e necessária para comunicação node-to-node). Você pode configurar a porta pcsd por meio do parâmetro PCSD_PORT no arquivo /etc/sysconfig/pcsd.

É crucial abrir a porta 2224 de tal forma que pcs de qualquer nó possa falar com todos os nós do agrupamento, inclusive consigo mesmo. Ao usar o gerente de bilhetes de estande de cluster ou um dispositivo de quorum, você deve abrir a porta 2224 em todos os hosts relacionados, tais como árbitros de estande ou o host do dispositivo de quorum.

TCP 3121

Necessário em todos os nós se o agrupamento tiver algum nó de Pacemaker Remote

O daemon do Pacemaker pacemaker-based nos nós de agrupamento completo entrará em contato com o daemon pacemaker_remoted nos nós remotos do Pacemaker na porta 3121. Se uma interface separada for usada para comunicação em cluster, a porta só precisa estar aberta nessa interface. No mínimo, a porta deve ser aberta nos nós Remotos do Pacemaker para nós de cluster completo. Como os usuários podem converter um host entre um nó completo e um nó remoto, ou executar um nó remoto dentro de um container usando a rede do host, pode ser útil abrir a porta para todos os nós. Não é necessário abrir a porta para nenhum outro host além dos nós.

TCP 5403

Necessário no quorum quando se utiliza um dispositivo de quorum com corosync-qnetd. O valor padrão pode ser alterado com a opção -p do comando corosync-qnetd.

UDP 5404-5412

Necessário nos nós corosync para facilitar a comunicação entre os nós. É crucial abrir as portas 5404-5412 de tal forma que corosync de qualquer nó possa falar com todos os nós do cluster, inclusive consigo mesmo.

TCP 21064

Necessário em todos os nós se o cluster contiver algum recurso que requeira DLM (como GFS2).

TCP 9929, UDP 9929

É necessário estar aberto em todos os nós de cluster e nós árbitros de estande para conexões de qualquer um desses mesmos nós quando o gerente de bilhetes do estande é usado para estabelecer um cluster com vários locais.