2.3. 防火墙

2.3.1. Red Hat Enterprise Virtualization Manager 对防火墙的要求

Red Hat Enterprise Virtualization Manager 需要一些端口被打开,从而可以使用这些端口通过系统的防火墙。engine-setup 脚本会自动配置防火墙,但这会覆盖以前存在的防火墙配置。
当一个防火墙配置已经存在时,您必须根据 Manager 的要求手动添加防火墙规则。engine-setup 命令会在/usr/share/ovirt-engine/conf/iptables.example 文件中保存所需的防火墙规则列表。
这里所介绍的防火墙配置是根据一个默认的网络配置进行的。如果在安装的时候没有使用默认的 HTTPHTTPS 端口,请修改防火墙规则中的相应值来使用这些非默认的端口(这里所列出的 80443 是默认的端口)。

表 2.6. Red Hat Enterprise Virtualization Manager 对防火墙的要求

端口协议原始点目标目的
-ICMP
Red Hat Enterprise Virtualization Hypervisor 主机
Red Hat Enterprise Linux 主机
Red Hat Enterprise Virtualization Manager
当在 Red Hat Enterprise Virtualization Manager 上进行注册时,虚拟主机会发送一个 ICMP ping 请求来确认 Manager 在线。
22TCP
用来维护 Manager(包括后台配置和软件升级)的系统。
Red Hat Enterprise Virtualization Manager
SSH 访问。
可选。
2222TCP
客户访问虚拟机串口控制台。
Red Hat Enterprise Virtualization Manager
启用提供 SSH 访问虚拟机串口控制台的功能。
80, 443TCP
管理门户客户端
用户门户客户端
Red Hat Enterprise Virtualization Hypervisor 主机
Red Hat Enterprise Linux 主机
REST API 客户端
Red Hat Enterprise Virtualization Manager
提供到 Manager 的 HTTPHTTPS 访问。
6100TCP
管理门户客户端
用户门户客户端
Red Hat Enterprise Virtualization Manager
当 websocket 代理在 Manager 上运行时,这个端口为基于 web 的控制台客户端(noVNCspice-html5)提供 websocket 代理访问。如果 websocket 代理运行于另外一台主机上,这个端口将不能使用。
7410UDP
Red Hat Enterprise Virtualization Hypervisor 主机
Red Hat Enterprise Linux 主机
Red Hat Enterprise Virtualization Manager
必须打开来使 Manager 可以接收 Kdump 通知。

重要

当您的环境需要 Red Hat Enterprise Virtualization Manager 导出 NFS 存储(如 ISO 存储域),防火墙必须允许数据使用一些额外的端口。您需要根据以下信息为 NFS 配置防火墙:

NFSv4

  • 允许 NFS 使用 TCP 端口 2049

NFSv3

  • 允许 NFS 使用 TCPUDP 端口 2049
  • TCPUDP 端口 111rpcbind/sunrpc)。
  • 使用 MOUNTD_PORT="port" 指定的 TCPUDP 端口
  • 使用 STATD_PORT="port" 指定的 TCPUDP 端口
  • 使用 LOCKD_TCPPORT="port" 指定的 TCP 端口
  • 使用 LOCKD_UDPPORT="port" 指定的 UDP 端口
MOUNTD_PORTSTATD_PORTLOCKD_TCPPORTLOCKD_UDPPORT/etc/sysconfig/nfs 文件中设置。

2.3.2. Hypervisor 的防火墙配置要求

Red Hat Enterprise Linux 主机和 Red Hat Enterprise Virtualization Hypervisor 主机需要一些端口被打开,从而可以使用这些端口通过系统的防火墙。对于 Red Hat Enterprise Virtualization Hypervisor,这些防火墙规则会被自动配置,而对于 Red Hat Enterprise Linux 主机,需要对防火墙进行手动配置。

表 2.7. 虚拟主机的防火墙要求

端口协议原始点目标目的
22TCP
Red Hat Enterprise Virtualization Manager
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
SSH 访问。
可选。
2223TCP
Red Hat Enterprise Virtualization Manager
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
启用提供 SSH 访问虚拟机串口控制台的功能。
161UDP
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
Red Hat Enterprise Virtualization Manager
SNMP。只在需要从 hypervisor 发送 SNMP trap 到一个或多个外部 SNMP manager 时才需要。
可选。
5900 - 6923TCP
管理门户客户端
用户门户客户端
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
使用 VNCSPICE 的远程虚拟机控制台的访问。这些端口必须为客户端访问虚拟机而打开。
5989TCP, UDP
CIMOM
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
CIMOM 使用它来监测在虚拟主机上运行的虚拟机。只有在需要使用 CIMOM 监控虚拟环境中的虚拟机时才需要它。
可选。
16514TCP
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
使用 libvirt 进行虚拟机迁移。
49152 - 49216TCP
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
虚拟机的迁移和隔离(fencing)使用 VDSM。自动或手动虚拟机迁移都需要这个端口被打开。
54321TCP
Red Hat Enterprise Virtualization Manager
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
VDSM 使用它与 Manager 和其它虚拟主机进行通讯。

2.3.3. 目录服务器的防火墙要求

Red Hat Enterprise Virtualization 需要一个目录服务器来进行用户验证。Red Hat Enterprise Virtualization Manager 使用 GSS-API 进行用户验证,因此目录服务器上的一些端口需要在防火墙中打开来支持它。

表 2.8. 主机防火墙的要求

端口协议原始点目标目的
88, 464TCP, UDP
Red Hat Enterprise Virtualization Manager
目录服务器
Kerberos 验证。
389, 636TCP
Red Hat Enterprise Virtualization Manager
目录服务器
LDAP 和 LDAP over SSL

2.3.4. 数据库服务器的防火墙要求

Red Hat Enterprise Virtualization 支持使用远程数据库服务器的功能。如果计划使用远程数据库服务器,则需要保证远程数据库服务器可以被 Red Hat Enterprise Virtualization Manager 访问。

表 2.9. 主机防火墙的要求

端口协议原始点目标目的
5432TCP, UDP
Red Hat Enterprise Virtualization Manager
PostgreSQL 数据库服务器
PostgreSQL 数据库连接所使用的默认端口。
如果准备把数据库安装在 Red Hat Enterprise Virtualization Manager 本身所在的系统上时(这是安装时的默认选项),就不需要配置额外的防火墙规则。