Language:
Format:

2.3. 网络要求

2.3.1. 常规要求

Red Hat Virtualization 要求在运行 Manager 的物理或虚拟机中保持 IPv6 处于启用状态。不要在 Manager 机器上禁用 IPv6，即使您的系统没有使用它。

2.3.2. DNS、NTP 和 IPMI 隔离的防火墙要求

以下所有主题的防火墙要求都是需要单独考虑的特例。

DNS 和 NTP

Red Hat Virtualization 不会创建 DNS 或 NTP 服务器，因此防火墙不需要开放端口用于传入流量。

默认情况下，Red Hat Enterprise Linux 允许到任何目标地址上的 DNS 和 NTP 的出站流量。如果您禁用传出流量，请为发送到 DNS 和 NTP 服务器的请求定义例外。

重要

Red Hat Virtualization Manager 和所有主机（Red Hat Virtualization Host 和 Red Hat Enterprise Linux 主机）必须具有完全限定域名和完整、完全对齐和反向名称解析。
不支持在 Red Hat Virtualization 环境中将 DNS 服务作为虚拟机运行。Red Hat Virtualization 环境使用的所有 DNS 服务都必须托管在环境之外。
使用 DNS 而不是 /etc/hosts 文件进行名称解析。使用主机文件通常需要更多工作，并且更容易出错。

IPMI 和其他隔离机制（可选）

对于 IPMI（智能平台管理接口）和其他隔离机制，防火墙不需要开放传入流量的端口。

默认情况下，Red Hat Enterprise Linux 允许到任何目标地址上的端口出站 IPMI 流量。如果您禁用传出流量，请对发送到 IPMI 或隔离服务器的请求进行例外处理。

集群中的每个 Red Hat Virtualization Host 和 Red Hat Enterprise Linux 主机都必须能够连接到集群中所有其他主机的隔离设备。如果集群主机遇到错误（网络错误，存储错误……）且无法作为主机运行，它们必须能够连接到数据中心中的其他主机。

具体端口号取决于您使用的隔离代理的类型以及配置方式。

以下部分中的防火墙要求表不代表这个选项。

2.3.3. Red Hat Virtualization Manager 防火墙要求

Red Hat Virtualization Manager 要求打开多个端口以允许通过系统的防火墙网络流量。

engine-setup 脚本可以自动配置防火墙。

此处记录的防火墙配置假定默认配置。

注意

这些防火墙要求图请参考 https://access.redhat.com/articles/3932211。您可以使用表中的 ID 来查找图中的连接。

表 2.3. Red Hat Virtualization Manager 防火墙要求

ID	端口	协议	源	目的地	用途	默认加密
M1	-	ICMP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization Manager	可选。可以帮助诊断.	否
M2	22	TCP	用于维护管理器的系统，包括后端配置和软件升级。	Red Hat Virtualization Manager	SSH 访问。可选。	是
M3	2222	TCP	访问虚拟机串行控制台的客户端.	Red Hat Virtualization Manager	SSH 访问，以启用与虚拟机串行控制台的连接。	是
M4	80, 443	TCP	管理门户客户端虚拟机门户客户端 Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机 REST API 客户端	Red Hat Virtualization Manager	提供对 Manager 的 HTTP（端口 80，未加密）和 HTTPS（端口 443、加密）访问。HTTP 将连接重定向到 HTTPS。	是
M5	6100	TCP	管理门户客户端虚拟机门户客户端	Red Hat Virtualization Manager	当 websocket 代理在 Manager 上运行时，为基于 Web 的控制台客户端 `noVNC` 提供 websocket 代理访问。	否
M6	7410	UDP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization Manager	如果在主机上启用了 Kdump，在 Manager 中为 fence_kdump 侦听程序打开此端口。请参阅 fence_kdump 高级配置。`fence_kdump` 不提供加密连接的方法。但是，您可以将此端口手动配置为阻止来自不符合条件的主机的访问。	否
M7	54323	TCP	管理门户客户端	Red Hat Virtualization Manager（`ovirt-imageio` 服务）	与 `ovirt-imageo` 服务通信需要此项。	是
M8	6642	TCP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	开放虚拟网络 (OVN) 南向数据库	连接到开放虚拟网络 (OVN) 数据库	是
M9	9696	TCP	OVN 外部网络提供程序的客户端	OVN 的外部网络供应商	OpenStack 网络 API	是，使用 engine-setup 生成的配置。
M10	35357	TCP	OVN 外部网络提供程序的客户端	OVN 的外部网络供应商	OpenStack Identity API	是，使用 engine-setup 生成的配置。
M11	53	TCP, UDP	Red Hat Virtualization Manager	DNS 服务器	从 1023 以上端口到端口 53 的 DNS 查找请求，以及响应。默认打开。	否
M12	123	UDP	Red Hat Virtualization Manager	NTP 服务器	从 1023 以上端口到端口 123 的 NTP 请求，以及响应.默认打开。	否

注意

OVN 北向数据库 (6641) 的端口没有列出，因为在默认配置中，OVN 北向数据库 (6641) 的唯一客户端是 ovirt-provider-ovn。由于它们在同一主机上运行，因此它们的通信对网络不可见。
默认情况下，Red Hat Enterprise Linux 允许到任何目标地址上的 DNS 和 NTP 的出站流量。如果您禁用传出流量，请为 Manager 异常向 DNS 和 NTP 服务器发送请求。其他节点可能还需要 DNS 和 NTP。在这种情况下，请查看这些节点的要求并相应地配置防火墙。

2.3.4. 主机防火墙要求

Red Hat Enterprise Linux 主机和 Red Hat Virtualization 主机 (RHVH) 需要打开多个端口，以允许通过系统的防火墙网络流量。在向 Manager 添加新主机时，默认自动配置防火墙规则，覆盖任何预先存在的防火墙配置。

要在添加新主机时禁用自动防火墙配置，请清除 Advanced Parameters 下的 Automatically configure host firewall 复选框。

要自定义主机防火墙规则，请参阅 RHV：如何自定义主机的防火墙规则？

注意

Red Hat Virtualization: Firewall Requirements Diagram 为这些防火墙要求图。您可以使用表中的 ID 来查找图中的连接。

表 2.4. 虚拟化主机防火墙要求

ID	端口	协议	源	目的地	用途	默认加密
H1	22	TCP	Red Hat Virtualization Manager	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	SSH 访问。可选。	是
H2	2223	TCP	Red Hat Virtualization Manager	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	SSH 访问，以启用与虚拟机串行控制台的连接。	是
H3	161	UDP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization Manager	简单的网络管理协议 (SNMP)。只有在您想要简单网络管理协议从主机发送到一个或多个外部 SNMP 管理器时才需要。可选。	否
H4	111	TCP	NFS 存储服务器	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	NFS 连接。可选。	否
H5	5900 - 6923	TCP	管理门户客户端虚拟机门户客户端	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	通过 VNC 和 SPICE 访问远程客户机控制台.必须打开这些端口，以便于客户端访问虚拟机。	是（可选）
H6	5989	TCP, UDP	Common Information Model Object Manager (CIMOM)	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	CIMOM 用于监控主机上运行的虚拟机。只有在您想要使用 CIMOM 监控虚拟化环境中的虚拟机时才需要。可选。	否
H7	9090	TCP	Red Hat Virtualization Manager 客户端机器	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	需要此项以访问 Cockpit Web 界面（如果已安装）。	是
H8	16514	TCP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	使用 libvirt 进行虚拟机迁移。	是
H9	49152 - 49215	TCP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	使用 VDSM 进行虚拟机迁移和隔离.这些端口必须处于打开状态，以促进虚拟机的自动化和手动迁移。	是。根据隔离代理，通过 libvirt 进行迁移。
H10	54321	TCP	Red Hat Virtualization Manager Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	VDSM 与管理器和其他虚拟化主机的通信。	是
H11	54322	TCP	Red Hat Virtualization Manager `ovirt-imageio` 服务	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	与 `ovirt-imageo` 服务通信需要此项。	是
H12	6081	UDP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	当将开放虚拟网络 (OVN) 用作网络提供程序时，需要允许 OVN 在主机之间创建隧道。	否
H13	53	TCP, UDP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	DNS 服务器	从 1023 以上端口到端口 53 的 DNS 查找请求，以及响应。此端口是必需的并默认打开。	否
H14	123	UDP	Red Hat Virtualization 主机 Red Hat Enterprise Linux 主机	NTP 服务器	从 1023 以上端口到端口 123 的 NTP 请求，以及响应.此端口是必需的并默认打开。
H15	4500	TCP, UDP	Red Hat Virtualization 主机	Red Hat Virtualization 主机	Internet 安全协议(IPSec)	是
H16	500	UDP	Red Hat Virtualization 主机	Red Hat Virtualization 主机	Internet 安全协议(IPSec)	是
H17	-	AH, ESP	Red Hat Virtualization 主机	Red Hat Virtualization 主机	Internet 安全协议(IPSec)	是

注意

默认情况下，Red Hat Enterprise Linux 允许到任何目标地址上的 DNS 和 NTP 的出站流量。如果您禁用传出流量，请对 Red Hat Virtualization 主机进行例外处理

Red Hat Enterprise Linux 主机向 DNS 和 NTP 服务器发送请求。其他节点可能还需要 DNS 和 NTP。在这种情况下，请查看这些节点的要求并相应地配置防火墙。

2.3.5. 数据库服务器防火墙要求

Red Hat Virtualization 支持将远程数据库服务器用于管理器数据库（引擎）和数据仓库数据库 (ovirt-engine-history)。如果您计划使用远程数据库服务器，则必须允许与管理器和数据仓库服务（它们可以独立于管理器）的连接。

同样，如果您计划从外部系统访问本地或远程数据仓库数据库，数据库必须允许来自该系统的连接。

重要

不支持从外部系统访问 Manager 数据库。

注意

这些防火墙要求图请参考 https://access.redhat.com/articles/3932211。您可以使用表中的 ID 来查找图中的连接。

表 2.5. 数据库服务器防火墙要求

ID 端口协议源目的地用途默认加密

ID	端口	协议	源	目的地	用途	默认加密
D1	5432	TCP, UDP	Red Hat Virtualization Manager 数据仓库服务	管理器（`引擎`）数据库服务器数据仓库 (`ovirt-engine-history`) 数据库服务器	PostgreSQL 数据库连接的默认端口。	否，但可以启用。
D2	5432	TCP, UDP	外部系统	数据仓库 (`ovirt-engine-history`) 数据库服务器	PostgreSQL 数据库连接的默认端口。	默认禁用此选项。否，但可以启用。

5432

TCP, UDP

Red Hat Virtualization Manager

数据仓库服务

管理器（引擎）数据库服务器

数据仓库 (ovirt-engine-history) 数据库服务器

PostgreSQL 数据库连接的默认端口。

否，但可以启用。

5432

TCP, UDP

外部系统

数据仓库 (ovirt-engine-history) 数据库服务器

PostgreSQL 数据库连接的默认端口。

默认禁用此选项。否，但可以启用。

2.3.6. 最大传输单元要求

部署期间，推荐的主机最大传输单位(MTU)设置是 1500。在环境设置为不同的 MTU 后，可以更新此设置。如需有关更改 MTU 设置的更多信息，请参阅如何更改托管引擎虚拟机网络 MTU。

Select Your Language

2.3. 网络要求

2.3.1. 常规要求

2.3.2. DNS、NTP 和 IPMI 隔离的防火墙要求

2.3.3. Red Hat Virtualization Manager 防火墙要求

2.3.4. 主机防火墙要求

2.3.5. 数据库服务器防火墙要求

2.3.6. 最大传输单元要求

Quick Links

Help

Site Info

Related Sites

About

Red Hat legal and privacy links

Red Hat legal and privacy links

Language and Page Formatting Options

2.3. 网络要求

2.3.1. 常规要求

2.3.2. DNS、NTP 和 IPMI 隔离的防火墙要求

2.3.3. Red Hat Virtualization Manager 防火墙要求

2.3.4. 主机防火墙要求

2.3.5. 数据库服务器防火墙要求

2.3.6. 最大传输单元要求

Quick Links

Help

Site Info

Related Sites

Systems Status

About

Red Hat legal and privacy links

Red Hat legal and privacy links