1.6. ポートとファイアウォールの要件
Satellite アーキテクチャーのコンポーネントで通信を行うには、ベースオペレーティングシステム上で、必要なネットワークポートが開放/解放されているようにしてください。また、ネットワークベースのファイアウォールでも、必要なネットワークポートを開放する必要があります。
この情報を使用して、ネットワークベースのファイアウォールを設定してください。クラウドソリューションによっては、ネットワークベースのファイアウォールと同様にマシンが分離されるので、特にマシン間の通信ができるように設定する必要があります。アプリケーションベースのファイアウォールを使用する場合には、アプリケーションベースのファイアウォールで、テーブルに記載のアプリケーションすべてを許可して、ファイアウォールに既知の状態にするようにしてください。可能であれば、アプリケーションのチェックを無効にして、プロトコルをベースにポートの通信を開放できるようにしてください。
統合 Capsule
Satellite Server には Capsule が統合されており、Satellite Server に直接接続されたホストは、以下のセクションのコンテキストでは Satellite のクライアントになります。これには、Capsule Server が実行されているベースオペレーティングシステムが含まれます。
Capsule のクライアント
Satellite と統合された Capsule ではない Capsule のクライアントであるホストには、Satellite Server へのアクセスは必要ありません。Satellite トポロジーとポート接続の図の詳細は、概要、概念、およびデプロイメントの考慮事項 の Capsule のネットワーク を参照してください。
使用している設定に応じて、必要なポートは変わることがあります。
以下の表は、宛先ポートとネットワークトラフィックの方向を示しています。
送信先ポート | プロトコル | Service | ソース | 用途 | 説明 |
53 | TCP および UDP | DNS | DSN サーバーおよびクライアント | 名前解決 | DNS (オプション) |
67 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
69 | UDP | TFTP | クライアント | TFTP サーバー (オプション) | |
443 | TCP | HTTPS | Capsule | Red Hat Satellite API | Capsule からの通信 |
443、80 | TCP | HTTPS, HTTP | クライアント | グローバル登録 | Satellite へのホストの登録 ポート 443 は、登録の開始、ファクトのアップロード、インストールされたパッケージとトレースの送信に必要です。
ポート 80 は、 |
443 | TCP | HTTPS | Red Hat Satellite | コンテンツミラーリング | 管理 |
443 | TCP | HTTPS | Red Hat Satellite | Capsule API | スマートプロキシー機能 |
443、80 | TCP | HTTPS, HTTP | Capsule | コンテンツの取得 | Content |
443、80 | TCP | HTTPS, HTTP | クライアント | コンテンツの取得 | Content |
1883 | TCP | MQTT | クライアント | プルベースの REX (オプション) | REX ジョブ通知用のコンテンツホスト (オプション) |
5910 - 5930 | TCP | HTTPS | ブラウザー | コンピュートリソースの仮想コンソール | |
8000 | TCP | HTTP | クライアント | プロビジョニングテンプレート | クライアントインストーラー、iPXE または UEFI HTTP ブートのテンプレート取得 |
8000 | TCP | HTTPS | クライアント | PXE ブート | インストール |
8140 | TCP | HTTPS | クライアント | puppet-agent | クライアントの更新 (オプション) |
9090 | TCP | HTTPS | Red Hat Satellite | Capsule API | スマートプロキシー機能 |
9090 | TCP | HTTPS | クライアント | OpenSCAP | クライアントの設定 (OpenSCAP プラグインがインストールされている場合) |
9090 | TCP | HTTPS | 検出されたノード | 検出 | ホストの検出とプロビジョニング (検出プラグインがインストールされている場合) |
Satellite Server に直接接続されたホストは、統合された Capsule のクライアントとなるため、このコンテキストではクライアントになります。これには、Capsule Server が稼働しているベースオペレーティングシステムが含まれます。
DHCP Capsule は、DHCP IPAM が設定されたサブネット内のホストに対して ICMP ping または TCP Echo 接続の試行を実行し、使用が検討されている IP アドレスが空いているかどうかを確認します。この動作は、satellite-installer --foreman-proxy-dhcp-ping-free-ip=false
を使用してオフにできます。
発信トラフィックの一部は Satellite に戻り、内部通信とセキュリティー操作を有効にします。
送信先ポート | プロトコル | Service | 宛先 | 用途 | 説明 |
---|---|---|---|---|---|
ICMP | ping | クライアント | DHCP | 解放されている IP チェック (オプション) | |
7 | TCP | echo | クライアント | DHCP | 解放されている IP チェック (オプション) |
22 | TCP | SSH | ターゲットホスト | リモート実行 | ジョブの実行 |
22, 16514 | TCP | SSH SSH/TLS | Compute Resource (コンピュートリソース) | libvirt のコンピュートリソースに対する Satellite による通信 | |
53 | TCP および UDP | DNS | インターネット上の DNS サーバー | DNS サーバー | DNS レコードの解決 (オプション) |
53 | TCP および UDP | DNS | DNS サーバー | --capsule-dns | DNS 競合の検証 (オプション) |
53 | TCP および UDP | DNS | DNS サーバー | Orchestration | DNS 競合の検証 |
68 | UDP | DHCP | クライアント | 動的 IP | DHCP (オプション) |
80 | TCP | HTTP | リモートリポジトリー | コンテンツ同期 | リモートリポジトリー |
389、636 | TCP | LDAP、LDAPS | 外部 LDAP サーバー | LDAP |
LDAP 認証。外部認証が有効になっている場合にのみ必要です。 |
443 | TCP | HTTPS | Satellite | Capsule | Capsule 設定管理 テンプレートの取得 OpenSCAP リモート実行結果のアップロード |
443 | TCP | HTTPS | Amazon EC2, Azure, Google GCE | コンピュートリソース | 仮想マシンのインタラクション (クエリー/作成/破棄) (オプション) |
443 | TCP | HTTPS | console.redhat.com | Red Hat Cloud プラグイン API 呼び出し | |
443 | TCP | HTTPS | cdn.redhat.com | コンテンツ同期 | |
443 | TCP | HTTPS | api.access.redhat.com | SOS レポート | Red Hat カスタマーポータル を通じて提出されたサポートケースの支援 (オプション) |
443 | TCP | HTTPS | cert-api.access.redhat.com | Telemetry データのアップロードとレポート | |
443 | TCP | HTTPS | Capsule | コンテンツのミラーリング | 開始 |
443 | TCP | HTTPS | Infoblox DHCP サーバー | DHCP 管理 | DHCP に Infoblox を使用する場合、DHCP リースの管理 (オプション) |
623 | クライアント | 電源管理 | BMC のオン/オフ/サイクル/ステータス | ||
5000 | TCP | HTTPS | OpenStack Compute Resource | コンピュートリソース | 仮想マシンのインタラクション (クエリー/作成/破棄) (オプション) |
5900 – 5930 | TCP | SSL/TLS | ハイパーバイザー | noVNC コンソール | noVNC コンソールの起動 |
7911 | TCP | DHCP、OMAPI | DHCP サーバー | DHCP |
DHCP ターゲットは、
ISC と |
8443 | TCP | HTTPS | クライアント | 検出 | Capsule は、検出されたホストに再起動コマンドを送信する (オプション) |
9090 | TCP | HTTPS | Capsule | Capsule API | Capsule の管理 |