4.15. ファイアウォールの設定
重要
- デフォルトのファイアウォールを変更する場合は、不一致を防ぐために、クラスター内の各ホストが同じファイアウォールタイプを使用していることを確認してください。
- Atomic Host にインストールされた OpenShift Container Platform でファイアウォールを使用しないでください。 ファイアウォールは Atomic Host ではサポートされていません。
注記
iptables はデフォルトのファイアウォールですが、firewalld は新規インストールで推奨されるファイアウォールです。
OpenShift Container Platform は iptables をデフォルトのファイアウォールとして使用しますが、クラスターをインストールプロセス時に firewalld を使用するように設定できます。
iptables はデフォルトのファイアウォールであるため、OpenShift Container Platform は iptables を自動的に設定するように設計されています。ただし、iptables ルールが適切に設定されていない場合、iptables ルールによって OpenShift Container Platform が中断する可能性があります。firewalld の利点の 1 つは、複数のオブジェクトでファイアウォールルールを安全に共有できることです。
firewalld を OpenShift Container Platform インストールのファイアウォールとして使用するには、インストール時に os_firewall_use_firewalld 変数を Ansible ホストファイルの設定変数の一覧に追加します。
[OSEv3:vars]
os_firewall_use_firewalld=True 1- 1
- この変数を
trueに設定することで、必要なポートが開き、ルールがデフォルトゾーンに追加されます。 これにより、firewalld が適切に設定されていることを確認できます。
注記
firewalld のデフォルトの設定オプションを使用する際には設定オプションが制限され、これらをオーバーライドすることはできません。たとえば、ストレージネットワークを複数ゾーンのインターフェイスでセットアップすることができますが、ノードが通信に使用するインターフェイスはデフォルトゾーンになければなりません。
