1.5. ポートとファイアウォールの要件


Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。

Satellite Server と Capsule Server の間のポートがインストール開始前に開放されていない場合は、Capsule Server のインストールに失敗します。

この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。

統合 Capsule

Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。

Capsule のクライアント

Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーとポート接続の図の詳細は、Red Hat Satellite 6 の計画Capsule ネットワーク を参照してください。

使用している設定に応じて、必要なポートは変わることがあります。

以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。

表1.3 Capsule の受信トラフィック
送信先ポートプロトコルサービスSource用途説明

53

TCP および UDP

DNS

DSN サーバーおよびクライアント

名前解決

DNS (オプション)

67

UDP

DHCP

クライアント

動的 IP

DHCP (オプション)

69

UDP

TFTP

クライアント

TFTP サーバー (オプション)

 

443、80

TCP

HTTPS, HTTP

クライアント

コンテンツの取得

コンテンツ

443、80

TCP

HTTPS, HTTP

クライアント

コンテンツホスト登録

Capsule CA RPM のインストール

443

TCP

HTTPS

Red Hat Satellite

コンテンツミラーリング

管理

443

TCP

HTTPS

Red Hat Satellite

Capsule API

スマートプロキシー機能

5647

TCP

AMQP

クライアント

goferd メッセージバス

クライアントにメッセージの転送 (オプション)

Qpid ディスパッチャーと通信する Katello エージェント

8000

TCP

HTTP

クライアント

プロビジョニングテンプレート

クライアントインストーラー、iPXE または UEFI HTTP ブートのテンプレート取得

8000

TCP

HTTP

クライアント

PXE ブート

インストール

8140

TCP

HTTPS

クライアント

puppet-agent

クライアントの更新 (オプション)

8443

TCP

HTTPS

クライアント

コンテンツホスト登録

開始

ファクトのアップロード

インストールされたパッケージとトレースの送信

9090

TCP

HTTPS

クライアント

OpenSCAP

クライアントの設定

9090

TCP

HTTPS

検出されたノード

検出

ホストの検出とプロビジョニング

9090

TCP

HTTPS

Red Hat Satellite

Capsule API

Capsule の機能

Satellite Server に直接接続された管理対象ホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。

DHCP Capsule は、DHCP IPAM が設定されたサブネット内のホストに対して ICMP ping および TCP Echo 接続の試行を実行し、使用が検討されている IP アドレスが空いているかどうかを確認します。この動作は、satellite-installer --foreman-proxy-dhcp-ping-free-ip=false を使用してオフにできます。

表1.4 Capsule 送信トラフィック
送信先ポートプロトコルサービス送信先用途説明
 

ICMP

ping

クライアント

DHCP

解放されている IP チェック (オプション)

7

TCP

echo

クライアント

DHCP

解放されている IP チェック (オプション)

22

TCP

SSH

ターゲットホスト

リモート実行

ジョブの実行

53

TCP および UDP

DNS

インターネット上の DNS サーバー

DNS サーバー

DNS レコードの解決 (オプション)

53

TCP および UDP

DNS

DNS サーバー

--capsule-dns

DNS 競合の検証 (オプション)

68

UDP

DHCP

クライアント

動的 IP

DHCP (オプション)

443

TCP

HTTPS

Satellite

Capsule

Capsule

設定管理

テンプレートの取得

OpenSCAP

リモート実行結果のアップロード

443

TCP

HTTPS

Red Hat ポータル

SOS レポート

サポートケースの支援 (オプション)

443

TCP

HTTPS

Satellite

コンテンツ

同期

443

TCP

HTTPS

Satellite

クライアント通信

クライアントから Satellite への要求転送

443

TCP

HTTPS

Infoblox DHCP サーバー

DHCP 管理

DHCP に Infoblox を使用する場合、DHCP リースの管理 (オプション)

623

  

クライアント

電源管理

BMC のオン/オフ/サイクル/ステータス

5646

TCP

AMQP

Satellite Server

Katello Agent

Capsule の Qpid ディスパッチルーターへのメッセージの転送 (オプション)

7911

TCP

DHCP、OMAPI

DHCP サーバー

DHCP

DHCP ターゲットは、--foreman-proxy-dhcp-server を使用して設定される。デフォルトは localhost。

ISC と remote_isc は、デフォルトが 7911 で、OMAPI を使用する設定可能なポートを使用する

8443

TCP

HTTPS

クライアント

検出

Capsule は、検出されたホストに再起動コマンドを送信する (オプション)

注記

ICMP から Port 7 UDP および TCP を拒否することはできませんが、破棄できます。DHCP Capsule は ECHO REQUEST をクライアントネットワークに送信し、IP アドレスが解放されていることを確認します。応答があると、IP アドレスの割り当てが回避されます。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.