検索

1.6. ポートとファイアウォールの要件

download PDF

Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。

この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。

統合 Capsule

Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。

Capsule のクライアント

Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーとポート接続の図に関する詳細は、Satellite の概要、概念、およびデプロイメントの考慮事項Capsule のネットワーク を参照してください。

使用している設定に応じて、必要なポートは変わることがあります。

以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。

表1.3 Satellite Server の受信トラフィック

送信先ポート

プロトコル

サービス

ソース

用途

説明

53

TCP および UDP

DNS

DSN サーバーおよびクライアント

名前解決

DNS (オプション)

67

UDP

DHCP

クライアント

動的 IP

DHCP (オプション)

69

UDP

TFTP

クライアント

TFTP サーバー (オプション)

 

443

TCP

HTTPS

Capsule

Red Hat Satellite API

Capsule からの通信

443、80

TCP

HTTPS, HTTP

クライアント

グローバル登録

Satellite へのホストの登録

ポート 443 は、登録の開始、ファクトのアップロード、およびインストールされたパッケージおよびトレースの送信に必要です。

ポート 80 は、/unattended/built エンドポイントで登録が完了したことを通知します。

443

TCP

HTTPS

Red Hat Satellite

コンテンツミラーリング

管理

443

TCP

HTTPS

Red Hat Satellite

Capsule API

スマートプロキシー機能

443、80

TCP

HTTPS, HTTP

Capsule

コンテンツの取得

コンテンツ

443、80

TCP

HTTPS, HTTP

クライアント

コンテンツの取得

コンテンツ

1883

TCP

MQTT

クライアント

プルベースの REX (オプション)

REX ジョブ通知用のコンテンツホスト (オプション)

5646、5647

TCP

AMQP

Capsule

Katello Agent

Satellite 上の Qpid ディスパッチルーターへのメッセージの転送 (オプション)

5910  - 5930

TCP

HTTPS

ブラウザー

コンピュートリソースの仮想コンソール

 

8000

TCP

HTTP

クライアント

プロビジョニングテンプレート

クライアントインストーラー、iPXE または UEFI HTTP ブートのテンプレート取得

8000

TCP

HTTPS

クライアント

PXE ブート

インストール

8140

TCP

HTTPS

クライアント

puppet-agent

クライアントの更新 (オプション)

9090

TCP

HTTPS

クライアント

OpenSCAP

クライアントの設定

9090

TCP

HTTPS

検出されたノード

検出

ホストの検出とプロビジョニング

9090

TCP

HTTPS

Red Hat Satellite

Capsule API

Capsule の機能

Satellite Server に直接接続されたマネージドホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。

DHCP Capsule は、DHCP IPAM が設定されたサブネット内のホストに対して ICMP ping または TCP Echo 接続の試行を実行し、使用が検討されている IP アドレスが空いているかどうかを確認します。この動作は、satellite-installer --foreman-proxy-dhcp-ping-free-ip=false を使用してオフにできます。

注記

発信トラフィックの一部は Satellite に戻り、内部通信とセキュリティー操作を有効にします。

表1.4 Satellite Server の発信トラフィック
送信先ポートプロトコルサービス宛先用途説明
 

ICMP

ping

クライアント

DHCP

解放されている IP チェック (オプション)

7

TCP

echo

クライアント

DHCP

解放されている IP チェック (オプション)

22

TCP

SSH

ターゲットホスト

リモート実行

ジョブの実行

22, 16514

TCP

SSH SSH/TLS

Compute Resource (コンピュートリソース)

libvirt のコンピュートリソースに対する Satellite による通信

 

53

TCP および UDP

DNS

インターネット上の DNS サーバー

DNS サーバー

DNS レコードの解決 (オプション)

53

TCP および UDP

DNS

DNS サーバー

--capsule-dns

DNS 競合の検証 (オプション)

53

TCP および UDP

DNS

DNS サーバー

オーケストレーション

DNS 競合の検証

68

UDP

DHCP

クライアント

動的 IP

DHCP (オプション)

80

TCP

HTTP

リモートリポジトリー

コンテンツ同期

リモート YUM リポジトリー

389、636

TCP

LDAP、LDAPS

外部 LDAP サーバー

LDAP

LDAP 認証。外部認証が有効になっている場合にのみ必要です。LDAPAuthSource が定義されている場合、ポートをカスタマイズできます

443

TCP

HTTPS

Satellite

Capsule

Capsule

設定管理

テンプレートの取得

OpenSCAP

リモート実行結果のアップロード

443

TCP

HTTPS

Amazon EC2, Azure, Google GCE

コンピュートリソース

仮想マシンのインタラクション (クエリー/作成/破棄) (オプション)

443

TCP

HTTPS

Capsule

コンテンツのミラーリング

開始

443

TCP

HTTPS

Infoblox DHCP サーバー

DHCP 管理

DHCP に Infoblox を使用する場合、DHCP リースの管理 (オプション)

623

  

クライアント

電源管理

BMC のオン/オフ/サイクル/ステータス

5000

TCP

HTTPS

OpenStack Compute Resource

コンピュートリソース

仮想マシンのインタラクション (クエリー/作成/破棄) (オプション)

5646

TCP

AMQP

Satellite Server

Katello Agent

Capsule の Qpid ディスパッチルーターへのメッセージの転送 (オプション)

5671

  

Qpid

リモートインストール

インストールコマンドのクライアントへの送信

5671

  

ディスパッチルーター (ハブ)

リモートインストール

Satellite 上のディスパッチルーターへのメッセージの転送

5671

  

Satellite Server

Katello エージェントのリモートインストール

インストールコマンドのクライアントへの送信

5671

  

Satellite Server

Katello エージェントのリモートインストール

Satellite 上のディスパッチルーターへのメッセージの転送

5900 – 5930

TCP

SSL/TLS

ハイパーバイザー

noVNC コンソール

noVNC コンソールの起動

7911

TCP

DHCP、OMAPI

DHCP サーバー

DHCP

DHCP ターゲットは、--foreman-proxy-dhcp-server を使用して設定される。デフォルトは localhost。

ISC と remote_isc は、デフォルトが 7911 で、OMAPI を使用する設定可能なポートを使用する

8443

TCP

HTTPS

クライアント

検出

Capsule は、検出されたホストに再起動コマンドを送信する (オプション)

9090

TCP

HTTPS

Capsule

Capsule API

Capsule の管理

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.