Show Table of Contents
2.3. 防火墙
2.3.1. Red Hat Enterprise Virtualization Manager 对防火墙的要求
Red Hat Enterprise Virtualization Manager 需要一些端口被打开,从而可以使用这些端口通过系统的防火墙。
engine-setup 脚本会自动配置防火墙,但这会覆盖以前存在的防火墙配置。
当一个防火墙配置已经存在时,您必须根据 Manager 的要求手动添加防火墙规则。
engine-setup 命令会在/usr/share/ovirt-engine/conf/iptables.example 文件中保存所需的防火墙规则列表。
这里所介绍的防火墙配置是根据一个默认的网络配置进行的。如果在安装的时候没有使用默认的 HTTP 和 HTTPS 端口,请修改防火墙规则中的相应值来使用这些非默认的端口(这里所列出的
80 和 443 是默认的端口)。
表 2.6. Red Hat Enterprise Virtualization Manager 对防火墙的要求
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| - | ICMP |
Red Hat Enterprise Virtualization Hypervisor 主机
Red Hat Enterprise Linux 主机
|
Red Hat Enterprise Virtualization Manager
| 当在 Red Hat Enterprise Virtualization Manager 上进行注册时,虚拟主机会发送一个 ICMP ping 请求来确认 Manager 在线。 |
| 22 | TCP |
用来维护 Manager(包括后台配置和软件升级)的系统。
|
Red Hat Enterprise Virtualization Manager
|
SSH 访问。
可选。
|
| 2222 | TCP |
客户访问虚拟机串口控制台。
|
Red Hat Enterprise Virtualization Manager
|
启用提供 SSH 访问虚拟机串口控制台的功能。
|
| 80, 443 | TCP |
管理门户客户端
用户门户客户端
Red Hat Enterprise Virtualization Hypervisor 主机
Red Hat Enterprise Linux 主机
REST API 客户端
|
Red Hat Enterprise Virtualization Manager
|
提供到 Manager 的 HTTP 和 HTTPS 访问。
|
| 6100 | TCP |
管理门户客户端
用户门户客户端
|
Red Hat Enterprise Virtualization Manager
|
当 websocket 代理在 Manager 上运行时,这个端口为基于 web 的控制台客户端(
noVNC 和 spice-html5)提供 websocket 代理访问。如果 websocket 代理运行于另外一台主机上,这个端口将不能使用。
|
| 7410 | UDP |
Red Hat Enterprise Virtualization Hypervisor 主机
Red Hat Enterprise Linux 主机
|
Red Hat Enterprise Virtualization Manager
| 必须打开来使 Manager 可以接收 Kdump 通知。 |
重要
当您的环境需要 Red Hat Enterprise Virtualization Manager 导出 NFS 存储(如 ISO 存储域),防火墙必须允许数据使用一些额外的端口。您需要根据以下信息为 NFS 配置防火墙:
NFSv4
- 允许 NFS 使用 TCP 端口
2049。
NFSv3
- 允许 NFS 使用 TCP 和 UDP 端口
2049。 - TCP 和 UDP 端口
111(rpcbind/sunrpc)。 - 使用
MOUNTD_PORT="port"指定的 TCP 和 UDP 端口 - 使用
STATD_PORT="port"指定的 TCP 和 UDP 端口 - 使用
LOCKD_TCPPORT="port"指定的 TCP 端口 - 使用
LOCKD_UDPPORT="port"指定的 UDP 端口
MOUNTD_PORT、STATD_PORT、LOCKD_TCPPORT 和 LOCKD_UDPPORT 在 /etc/sysconfig/nfs 文件中设置。
2.3.2. Hypervisor 的防火墙配置要求
Red Hat Enterprise Linux 主机和 Red Hat Enterprise Virtualization Hypervisor 主机需要一些端口被打开,从而可以使用这些端口通过系统的防火墙。对于 Red Hat Enterprise Virtualization Hypervisor,这些防火墙规则会被自动配置,而对于 Red Hat Enterprise Linux 主机,需要对防火墙进行手动配置。
表 2.7. 虚拟主机的防火墙要求
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| 22 | TCP |
Red Hat Enterprise Virtualization Manager
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
SSH 访问。
可选。
|
| 2223 | TCP |
Red Hat Enterprise Virtualization Manager
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
启用提供 SSH 访问虚拟机串口控制台的功能。
|
| 161 | UDP |
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
Red Hat Enterprise Virtualization Manager
|
SNMP。只在需要从 hypervisor 发送 SNMP trap 到一个或多个外部 SNMP manager 时才需要。
可选。
|
| 5900 - 6923 | TCP |
管理门户客户端
用户门户客户端
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
使用 VNC 和 SPICE 的远程虚拟机控制台的访问。这些端口必须为客户端访问虚拟机而打开。
|
| 5989 | TCP, UDP |
CIMOM
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
CIMOM 使用它来监测在虚拟主机上运行的虚拟机。只有在需要使用 CIMOM 监控虚拟环境中的虚拟机时才需要它。
可选。
|
| 16514 | TCP |
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
使用
libvirt 进行虚拟机迁移。
|
| 49152 - 49216 | TCP |
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
虚拟机的迁移和隔离(fencing)使用 VDSM。自动或手动虚拟机迁移都需要这个端口被打开。
|
| 54321 | TCP |
Red Hat Enterprise Virtualization Manager
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
Red Hat Enterprise Virtualization Hypervisor
Red Hat Enterprise Linux 主机
|
VDSM 使用它与 Manager 和其它虚拟主机进行通讯。
|
2.3.3. 目录服务器的防火墙要求
Red Hat Enterprise Virtualization 需要一个目录服务器来进行用户验证。Red Hat Enterprise Virtualization Manager 使用 GSS-API 进行用户验证,因此目录服务器上的一些端口需要在防火墙中打开来支持它。
表 2.8. 主机防火墙的要求
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| 88, 464 | TCP, UDP |
Red Hat Enterprise Virtualization Manager
|
目录服务器
| Kerberos 验证。 |
| 389, 636 | TCP |
Red Hat Enterprise Virtualization Manager
|
目录服务器
| LDAP 和 LDAP over SSL。 |
2.3.4. 数据库服务器的防火墙要求
Red Hat Enterprise Virtualization 支持使用远程数据库服务器的功能。如果计划使用远程数据库服务器,则需要保证远程数据库服务器可以被 Red Hat Enterprise Virtualization Manager 访问。
表 2.9. 主机防火墙的要求
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| 5432 | TCP, UDP |
Red Hat Enterprise Virtualization Manager
|
PostgreSQL 数据库服务器
| PostgreSQL 数据库连接所使用的默认端口。 |
如果准备把数据库安装在 Red Hat Enterprise Virtualization Manager 本身所在的系统上时(这是安装时的默认选项),就不需要配置额外的防火墙规则。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.