2.3. ファイアウォール
2.3.1. Red Hat Virtualization Manager のファイアウォール要件
Red Hat Virtualization Manager では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。
engine-setup スクリプトにより、ファイアウォールの自動設定が可能ですが、既存のファイアウォール設定が上書きされることになります。
既存のファイアウォール設定が存在する場合には、Manager に必要なファイアウォールルールを手動で追加する必要があります。
engine-setup コマンドは /usr/share/ovirt-engine/conf/iptables.example ファイルで必要な iptables ルールの一覧を保存します。
本セクションに記載するファイアウォール設定は、デフォルトの設定を前提としています。インストール中にデフォルト以外の HTTP および HTTPS ポートを選択した場合は、ここに表示されているデフォルトポート (
80 および 443) ではなく、選択したポートでネットワークトラフィックを許可するようにファイアウォールルールを適宜調整してください。
| ポート | プロトコル | 接続元 | 接続先 | 目的 |
|---|---|---|---|---|
| - | ICMP |
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Red Hat Virtualization Manager
| Red Hat Virtualization Manager への登録時に、仮想化ホストが ICMP ping 要求を Manager に送信してオンラインであることを確認します。 |
| 22 | TCP |
バックエンドの設定やソフトウェアのアップグレードなど、Manager のメンテナンスに使うシステム
|
Red Hat Virtualization Manager
|
Secure Shell (SSH) アクセス
オプション
|
| 2222 | TCP |
仮想マシンのシリアルコンソールにアクセスするクライアント
|
Red Hat Virtualization Manager
|
仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス
|
| 80, 443 | TCP |
管理ポータルのクライアント
ユーザーポータルのクライアント
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
REST API クライアント
|
Red Hat Virtualization Manager
|
HTTP および HTTPS 経由で Manager にアクセスできるようにします。
|
| 6100 | TCP |
管理ポータルのクライアント
ユーザーポータルのクライアント
|
Red Hat Virtualization Manager
|
Manager 上で websocket プロキシーを実行している場合に Web ベースのコンソールクライアント (
noVNC および spice-html5) に対する websocket プロキシーアクセスを提供します。ただし、websocket プロキシーが別のホストで実行されている場合には、このポートは使用されません。
|
| 7410 | UDP |
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Red Hat Virtualization Manager
| Manager が kdump の通知を受信するには開放する必要があります。 |
重要
Red Hat Virtualization Manager が ISO ストレージドメインなどの NFS ストレージもエクスポートする必要がある環境では、別のポートもファイアウォールを通過できるように設定する必要があります。使用中の NFS バージョンに適用されるポートに対してファイアウォールの例外を許可します。
NFSv4
- NFS 用の TCP ポート
2049
NFSv3
- NFS 用の TCP および UDP ポート
2049 - TCP および UDP ポート
111(rpcbind/sunrpc) MOUNTD_PORT="port"と指定した TCP および UDP ポートSTATD_PORT="port"と指定した TCP および UDP ポートLOCKD_TCPPORT="port"と指定した TCP ポートLOCKD_UDPPORT="port"と指定した UDP ポート
MOUNTD_PORT、STATD_PORT、LOCKD_TCPPORT、LOCKD_UDPPORT のポートは /etc/sysconfig/nfs ファイルで設定されます。
2.3.2. ハイパーバイザーのファイアウォール要件
Red Hat Enterprise Linux ホストおよび Red Hat Virtualization Host (RHVH) では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。Red Hat Virtualization Host の場合には、このファイアウォールルールは自動的に設定されますが、Red Hat Enterprise Linux ホストの場合には手動でファイアウォールを設定する必要があります。
| ポート | プロトコル | 接続元 | 接続先 | 目的 |
|---|---|---|---|---|
| 22 | TCP |
Red Hat Virtualization Manager
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Secure Shell (SSH) アクセス
オプション
|
| 2223 | TCP |
Red Hat Virtualization Manager
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス
|
| 161 | UDP |
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Red Hat Virtualization Manager
|
Simple network management protocol (SNMP)。ホストから 1 つまたは複数の SNMP マネージャーに Simple Network Management Protocol のトラップを送信する場合にのみ必要です。
オプション
|
| 5900 - 6923 | TCP |
管理ポータルのクライアント
ユーザーポータルのクライアント
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
VNC および SPICE を介したリモートゲストのコンソールアクセス。クライアントが仮想マシンに容易にアクセスできるように、これらのポートは開放しておく必要があります。
|
| 5989 | TCP、UDP |
Common Information Model Object Manager (CIMOM)
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Common Information Model Object Managers (CIMOM) がホスト上で実行中の仮想マシンをモニタリングするのに使用します。このポートは、環境内の仮想マシンのモニタリングに CIMOM を使用する場合にのみ開放する必要があります。
オプション
|
| 9090 | TCP |
Red Hat Virtualization Manager
クライアントマシン
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Cockpit ユーザーインターフェースへのアクセス
オプション
|
| 16514 | TCP |
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
| libvirt を使った仮想マシンの移行
|
| 49152 - 49216 | TCP |
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
VDSM を使用した仮想マシンの移行とフェンシング。仮想マシンの自動および手動での移行を容易に実行できるように、これらのポートを開放しておく必要があります。
|
| 54321 | TCP |
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
Red Hat Virtualization Host
Red Hat Enterprise Linux ホスト
|
VDSM による Manager およびその他の仮想化ホストとの通信
|
2.3.3. ディレクトリーサーバーのファイアウォール要件
Red Hat Virtualization では、ユーザー認証をサポートするためのディレクトリーサーバーが必要です。Red Hat Virtualization Manager で使用される GSS-API 認証をサポートするには、ディレクトリーサーバーのファイアウォールで複数のポートを開放しておく必要があります。
| ポート | プロトコル | 接続元 | 接続先 | 目的 |
|---|---|---|---|---|
| 88、464 | TCP、UDP |
Red Hat Virtualization Manager
|
ディレクトリーサーバー
| Kerberos 認証 |
| 389、636 | TCP |
Red Hat Virtualization Manager
|
ディレクトリーサーバー
| Lightweight Directory Access Protocol (LDAP) と LDAP over SSL |
2.3.4. データベースサーバーのファイアウォール要件
Red Hat Virtualization は、リモートデータベースサーバーの使用をサポートしています。Red Hat Virtualization でリモートデータベースサーバーを使用する場合には、そのリモートデータベースサーバーで Manager からの接続が確実に許可されるように設定しておく必要があります。
| ポート | プロトコル | 接続元 | 接続先 | 目的 |
|---|---|---|---|---|
| 5432 | TCP、UDP |
Red Hat Virtualization Manager
|
PostgreSQL データベースサーバー
| PostgreSQL データベース接続のデフォルトポート |
インストール時にデフォルトオプションとして提供されるローカルデータベースサーバーを Manager 上で使用する場合には、他のファイアウォールルールを追加する必要はありません。
