1.6. 端口和防火墙要求
若要使卫星架构的组件进行通信,请确保在基础操作系统中打开并释放所需的网络端口。您还必须在任何基于网络的防火墙中打开所需的网络端口。
使用此信息配置任何基于网络的防火墙。请注意,有些云解决方案必须经过特别配置,以允许计算机间的通信,因为它们与基于网络的防火墙类似隔离计算机。如果您使用基于应用程序的防火墙,请确保基于应用程序的防火墙允许所有在表中列出并在防火墙中已知的应用程序。如果可能,禁用应用程序检查并允许基于协议打开的端口通信。
集成胶囊
卫星服务器具有一个集成的胶囊,并且任何直接连接到卫星服务器的主机都是本节上下文中卫星的客户端。这包括运行胶囊服务器的基础操作系统。
胶囊的客户端
主机(即卫星的集成胶囊以外的客户端)不需要访问卫星服务器。有关卫星拓扑和移植端口连接的的更多信息,请参阅 卫星概述、概念和部署注意事项 中的 胶囊网络。
所需端口可能会根据您的配置而改变。
下表描述了目的地端口和网络流量的方向:
表 1.3. Satellite 服务器传入流量
目的地端口 | 协议 | 服务 | 源 | 必需 | 描述 |
53 | TCP 和 UDP | DNS | DNS 服务器和客户端 | 名称解析 | DNS(可选) |
67 | UDP | DHCP | 客户端 | 动态 IP | DHCP(可选) |
69 | UDP | TFTP | 客户端 | TFTP 服务器(可选) | |
443 | TCP | HTTPS | Capsule | Red Hat Satellite API | 来自 Capsule 的通信 |
443, 80 | TCP | HTTPS、HTTP | 客户端 | 全局注册 | 将主机注册到 Satellite 注册启动、上传事实和发送已安装的软件包和追踪需要端口 443
端口 80 在注册完成的 |
443 | TCP | HTTPS | Red Hat Satellite | 内容镜像 | 管理 |
443 | TCP | HTTPS | Red Hat Satellite | Capsule API | 智能代理功能 |
443, 80 | TCP | HTTPS、HTTP | Capsule | 内容检索 | 内容 |
443, 80 | TCP | HTTPS、HTTP | 客户端 | 内容检索 | 内容 |
1883 | TCP | MQTT | 客户端 | 拉取基于 REX (可选) | REX 作业通知的内容主机(可选) |
5646, 5647 | TCP | AMQP | Capsule | Katello 代理 | 将消息转发到卫星上的 Qpid 分配路由器(可选) |
5910 – 5930 | TCP | HTTPS | 浏览器 | 计算资源的虚拟控制台 | |
8000 | TCP | HTTP | 客户端 | 虚拟机模板 | 客户端安装程序、iPXE 或 UEFI HTTP 引导的模板检索 |
8000 | TCP | HTTPS | 客户端 | PXE 引导 | 安装 |
8140 | TCP | HTTPS | 客户端 | Puppet 代理 | 客户端更新(可选) |
9090 | TCP | HTTPS | 客户端 | OpenSCAP | 配置客户端 |
9090 | TCP | HTTPS | 发现的节点 | Discovery(发现) | 主机发现和置备 |
9090 | TCP | HTTPS | Red Hat Satellite | Capsule API | 胶囊功能 |
任何直接连接到卫星服务器的受管主机都是此上下文中的客户端,因为它是集成胶囊的客户端。这包括运行胶囊服务器的基础操作系统。
DHCP 胶囊将执行 ICMP ping 或 TCP echo 连接,从而尝试设置 DHCP IPAM 的子网,以查找是否考虑使用的 IP 地址是否可用。可以使用 satellite-installer --foreman-proxy-dhcp-ping-free-ip=false
来关闭此行为。
有些传出流量返回到 Satellite,以启用内部通信和安全操作。
表 1.4. Satellite 服务器传出流量
目的地端口 | 协议 | 服务 | 目的地 | 必需 | 描述 |
---|---|---|---|---|---|
ICMP | ping | 客户端 | DHCP | 免费 IP 检查(可选) | |
7 | TCP | echo | 客户端 | DHCP | 免费 IP 检查(可选) |
22 | TCP | SSH | 目标主机 | 远程执行 | 运行作业 |
22, 16514 | TCP | SSH SSH/TLS | 计算资源 | Satellite 发起通信,用于 libvirt 中的计算资源 | |
53 | TCP 和 UDP | DNS | 互联网上的 DNS 服务器 | DNS 服务器 | 解决 DNS 记录(可选) |
53 | TCP 和 UDP | DNS | DNS 服务器 | 胶囊 DNS | 验证 DNS 冲突(可选) |
53 | TCP 和 UDP | DNS | DNS 服务器 | 编配 | 验证 DNS 冲突 |
68 | UDP | DHCP | 客户端 | 动态 IP | DHCP(可选) |
80 | TCP | HTTP | 远程仓库 | 内容同步 | 远程 yum 软件仓库 |
389, 636 | TCP | LDAP, LDAPS | 外部 LDAP 服务器 | LDAP |
LDAP 身份验证,只有在启用了外部身份验证时才需要。当定义 |
443 | TCP | HTTPS | Satellite | Capsule | Capsule 配置管理 模板检索 OpenSCAP 远程执行结果上传 |
443 | TCP | HTTPS | Amazon EC2, Azure, Google GCE | 计算资源 | 虚拟机交互(query/create/destroy)(可选) |
443 | TCP | HTTPS | Capsule | 内容镜像 | 启动 |
443 | TCP | HTTPS | Infoblox DHCP Server | DHCP 管理 | 使用 Infoblox 进行 DHCP 时,管理 DHCP 租期(可选) |
623 | 客户端 | 电源管理 | BMC On/Off/Cycle/Status | ||
5000 | TCP | HTTPS | OpenStack 计算资源 | 计算资源 | 虚拟机交互(query/create/destroy)(可选) |
5646 | TCP | AMQP | Satellite Server | Katello 代理 | 将消息转发到 Capsule 上的 Qpid 分配路由器(可选) |
5671 | Qpid | 远程安装 | 将 install 命令发送到客户端 | ||
5671 | 分配路由器(hub) | 远程安装 | 转发在 Satellite 上分配路由器的信息 | ||
5671 | Satellite Server | Katello 代理的远程安装 | 将 install 命令发送到客户端 | ||
5671 | Satellite Server | Katello 代理的远程安装 | 转发在 Satellite 上分配路由器的信息 | ||
5900 – 5930 | TCP | SSL/TLS | 虚拟机监控程序 | noVNC 控制台 | 启动 noVNC 控制台 |
7911 | TCP | DHCP、OMAPI | DHCP Server | DHCP |
DHCP 目标使用
ISC 和 |
8443 | TCP | HTTPS | 客户端 | Discovery(发现) | Capsule 会将 reboot 命令发送到发现的主机(可选) |
9090 | TCP | HTTPS | Capsule | Capsule API | Capsules 管理 |