1.5. ポートとファイアウォールの要件
Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。
Satellite Server と Capsule Server の間のポートがインストール開始前に開放されていない場合は、Capsule Server のインストールに失敗します。
この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。
統合 Capsule
Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。
Capsule のクライアント
Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーの詳細は、概要、概念、およびデプロイメントの考慮事項 の Capsule のネットワーク を参照してください。
使用している設定に応じて、必要なポートは変わることがあります。
以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。
| 送信先ポート | プロトコル | サービス | ソース | 用途 | 説明 |
|---|---|---|---|---|---|
| 53 | TCP および UDP | DNS | DNS サーバーおよびクライアント | 名前解決 | DNS (オプション) |
| 67 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
| 69 | UDP | TFTP | クライアント | TFTP サーバー (オプション) | |
| 443、80 | TCP | HTTPS, HTTP | クライアント | コンテンツの取得 | Content |
| 443、80 | TCP | HTTPS, HTTP | クライアント | コンテンツホスト登録 | Capsule CA RPM のインストール |
| 443 | TCP | HTTPS | Red Hat Satellite | コンテンツミラーリング | 管理 |
| 443 | TCP | HTTPS | Red Hat Satellite | Capsule API | スマートプロキシー機能 |
| 443 | TCP | HTTPS | クライアント | コンテンツホスト登録 | 開始 ファクトのアップロード インストールされたパッケージとトレースの送信 |
| 1883 | TCP | MQTT | クライアント | プルベースの REX (オプション) | REX ジョブ通知用のコンテンツホスト (オプション) |
| 8000 | TCP | HTTP | クライアント | プロビジョニングテンプレート | クライアントインストーラー、iPXE または UEFI HTTP ブートのテンプレート取得 |
| 8000 | TCP | HTTP | クライアント | PXE ブート | インストール |
| 8140 | TCP | HTTPS | クライアント | puppet-agent | クライアントの更新 (オプション) |
| 8443 | TCP | HTTPS | クライアント | コンテンツホスト登録 | 非推奨、アップグレード前にデプロイされたクライアントホストにのみ必要 |
| 9090 | TCP | HTTPS | Red Hat Satellite | Capsule API | Capsule の機能 |
| 9090 | TCP | HTTPS | クライアント | エンドポイントの登録 | 外部 Capsule Server へのクライアント登録 |
| 9090 | TCP | HTTPS | クライアント | OpenSCAP | クライアントの設定 (OpenSCAP プラグインがインストールされている場合) |
| 9090 | TCP | HTTPS | 検出されたノード | 検出 | ホストの検出とプロビジョニング (検出プラグインがインストールされている場合) |
Satellite Server に直接接続されたホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。
DHCP Capsule は、DHCP IPAM が設定されたサブネット内のホストに対して ICMP ping および TCP Echo 接続の試行を実行し、使用が検討されている IP アドレスが空いているかどうかを確認します。この動作は、satellite-installer --foreman-proxy-dhcp-ping-free-ip=false を使用してオフにできます。
| 送信先ポート | プロトコル | サービス | 宛先 | 用途 | 説明 |
|---|---|---|---|---|---|
| ICMP | ping | クライアント | DHCP | 解放されている IP チェック (オプション) | |
| 7 | TCP | echo | クライアント | DHCP | 解放されている IP チェック (オプション) |
| 22 | TCP | SSH | ターゲットホスト | リモート実行 | ジョブの実行 |
| 53 | TCP および UDP | DNS | インターネット上の DNS サーバー | DNS サーバー | DNS レコードの解決 (オプション) |
| 53 | TCP および UDP | DNS | DNS サーバー | Capsule DNS | DNS 競合の検証 (オプション) |
| 68 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
| 443 | TCP | HTTPS | Satellite | Capsule | Capsule 設定管理 テンプレートの取得 OpenSCAP リモート実行結果のアップロード |
| 443 | TCP | HTTPS | Red Hat ポータル | SOS レポート | サポートケースの支援 (オプション) |
| 443 | TCP | HTTPS | Satellite | Content | 同期 |
| 443 | TCP | HTTPS | Satellite | クライアント通信 | クライアントから Satellite への要求転送 |
| 443 | TCP | HTTPS | Infoblox DHCP サーバー | DHCP 管理 | DHCP に Infoblox を使用する場合、DHCP リースの管理 (オプション) |
| 623 | クライアント | 電源管理 | BMC のオン/オフ/サイクル/ステータス | ||
| 7911 | TCP | DHCP、OMAPI | DHCP サーバー | DHCP |
DHCP ターゲットは、
ISC と |
| 8443 | TCP | HTTPS | クライアント | 検出 | Capsule は、検出されたホストに再起動コマンドを送信する (オプション) |
ICMP から Port 7 UDP および TCP を拒否することはできませんが、破棄できます。DHCP Capsule は ECHO REQUEST をクライアントネットワークに送信し、IP アドレスが解放されていることを確認します。応答があると、IP アドレスの割り当てが防止されます。
