第5章 ネットワークポートおよびプロトコル
Red Hat Ansible Automation Platform は、サービスとの通信に複数のポートを使用します。Red Hat Ansible Automation Platform サーバーへの着信接続を有効にするには、これらのポートを開いて利用できるようにする必要があります。これらのポートが利用可能で、サーバーのファイアウォールでブロックされていないことを確認してください。
以下のアーキテクチャー図は、すべての可能なコンポーネントと共に完全にデプロイされた Ansible Automation Platform の例です。
図5.1 Ansible Automation Platform のネットワークポートおよびプロトコル
以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。
以下に示すデフォルトの宛先ポートとインストーラーインベントリーは設定可能です。使用している環境に合わせて設定すると、動作が変わる可能性があります。
ポート | プロトコル | サービス | Source | 宛先 | 用途 | インストーラーのインベントリー変数 |
---|---|---|---|---|---|---|
22 | TCP | SSH | インストーラーノード | Automation Hub | インストール (一時的) |
|
22 | TCP | SSH | インストーラーノード | controller_node | インストール (一時的) |
|
22 | TCP | SSH | インストーラーノード | EDA ノード | インストール (一時的) |
|
22 | TCP | SSH | インストーラーノード | 実行ノード | インストール (一時的) |
|
22 | TCP | SSH | インストーラーノード | ホップノード | インストール (一時的) |
|
22 | TCP | SSH | インストーラーノード | ハイブリッドノード | インストール (一時的) |
|
22 | TCP | SSH | インストーラーノード | PostgreSQL データベース | インストール中のリモートアクセス (一時的) |
|
80/443 | TCP | HTTP/HTTPS | インストーラーノード | Automation Hub | バンドルインストーラーを使用するときに、インストーラーノードが実行環境イメージを Automation Hub にプッシュできるようにします。 | 固定値 |
80/443 | TCP | HTTP/HTTPS | 実行ノード | Automation Hub | 実行ノードが Automation Hub から実行環境イメージをプルできるようにします。 | 固定値 |
443 | TCP | HTTPS | controller_node | クライアント | Web UI/API |
|
443 | TCP | HTTPS | controller_node | OpenShift Container Platform | コンテナーグループを使用してジョブを実行する場合にのみ必要です。 | OpenShift API サーバーのホスト名 |
5432 | TCP | PostgreSQL | controller_node | PostgreSQL データベース | 内部データベースが別のコンポーネントとともに使用されている場合にのみ開放されます。そうでない場合は、このポートを開放しないでください。 |
|
5432 | TCP | PostgreSQL | EDA ノード | PostgreSQL データベース | 内部データベースが別のコンポーネントとともに使用されている場合にのみ開放されます。そうでない場合は、このポートを開放しないでください。 |
|
5432 | TCP | PostgreSQL | Automation Hub | PostgreSQL データベース | 内部データベースが別のコンポーネントとともに使用されている場合にのみ開放されます。そうでない場合は、このポートを開放しないでください。 |
|
27199 | TCP | Receptor | controller_node | 実行ノード | 設定可能 メッシュノードは、コントローラーに直接ピア接続されます。 関係するダイレクトノード。27199 通信は、(インストールインベントリーに応じて) 実行ノードに対して双方向にすることができます |
|
27199 | TCP | Receptor | controller_node | ホップノード | 設定可能 ホップノードを介してリレーされる場合、ホップノードから Receptor ポートへの接続を有効にします。 |
|
27199 | TCP | Receptor | controller_node | ハイブリッドノード | 設定可能 ホップ接続されていないノードを介してリレーされる場合、コントローラーから Receptor ポートへの接続を有効にします。 |
|
27199 | TCP | Receptor | 実行ノード | ホップノード | 設定可能 メッシュ 27199 通信は、(インストールインベントリーに応じて) 実行ノードに対して双方向にすることができます コントローラーから Receptor ポートへの接続を許可します。 |
|
27199 | TCP | Receptor | 実行ノード | controller_node | 設定可能 メッシュ 27199 通信は、(インストールインベントリーに応じて) 実行ノードに対して双方向にすることができます コントローラーから Receptor ポートへの接続を許可します。 |
|
- ハイブリッドノードは、制御ノードと実行ノードの組み合わせとして機能するため、ハイブリッドノードは両方の接続を共有します。
-
receptor_listener_port
が定義されている場合、マシンには、受信 TCP 接続を確立するために使用可能なオープンポート (27199 など) も必要です。
URL | 用途 |
---|---|
一般的なアカウントサービス、サブスクリプション | |
Insights データのアップロード | |
インベントリーのアップロードおよびクラウドコネクター接続 | |
Insights ダッシュボードへのアクセス |
URL | 用途 |
---|---|
一般的なアカウントサービス、サブスクリプション | |
実行環境のインデックス作成 | |
TCP | |
https://automation-hub-prd.s3.amazonaws.com:443https://automation-hub-prd.s3.us-east-2.amazonaws.com:443 | ファイアウォールアクセス |
Ansible コミュニティーがキュレートされた Ansible コンテンツ | |
https://ansible-galaxy-ng.s3.dualstack.us-east-1.amazonaws.com:443 | コミュニティーがキュレーションした Ansible コンテンツリポジトリー用のデュアルスタック IPv6 エンドポイント |
Red Hat およびパートナーが提供するコンテナーイメージへのアクセス | |
Red Hat およびパートナーキュレートされた Ansible コレクション |
URL | 用途 |
---|---|
Red Hat およびパートナーが提供するコンテナーイメージへのアクセス | |
| Red Hat およびパートナーが提供するコンテナーイメージへのアクセス |
| Red Hat およびパートナーが提供するコンテナーイメージへのアクセス |
| Red Hat およびパートナーが提供するコンテナーイメージへのアクセス |
| Red Hat およびパートナーが提供するコンテナーイメージへのアクセス |
イメージマニフェストとファイルシステム Blob は、registry.redhat.io
から直接提供されます。ただし、2023 年 5 月 1 日以降、ファイルシステム Blob は代わりに quay.io
から提供されます。コンテナーイメージのプルに関する問題を回避するには、一覧表示された quay.io
ホスト名への送信接続を有効にする必要があります。
この変更を、registry.redhat.io
へのアウトバウンド接続を有効にするすべてのファイアウォール設定に変更を加えます。
ファイアウォールルールを設定するときは、IP アドレスの代わりにホスト名を使用します。
この変更を加えた後、引き続き registry.redhat.io
からイメージをプルできます。Red Hat コンテナーイメージのプルを続行するために、quay.io
にログインする必要も、quay.io
レジストリーと直接やりとりする必要もありません。
詳細は、Firewall changes for container image pulls を参照してください。