2.3.4. ホストファイアウォールの要件
Red Hat Enterprise Linux ホストおよび Red Hat Virtualization Host (RHVH) では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。新たなホストを Manager に追加する際に、ファイアウォールルールがデフォルトで自動的に設定され、既存のファイアウォール設定はすべて上書きされます。
新規ホストの追加時のファイアウォール自動設定を無効にするには、詳細パラメーター の下の ホストのファイアウォールを自動設定する のチェックボックスからチェックを外します。
ホストのファイアウォールルールをカスタマイズするには、https://access.redhat.com/solutions/2772331 を参照してください。
これらのファイアウォール要件の模式図が、https://access.redhat.com/articles/3932211 に記載されています。表に書かれた ID を使用して、模式図内の接続を探すことができます。
ID | ポート | プロトコル | 送信元 | 宛先 | 目的 | デフォルトで暗号化 |
---|---|---|---|---|---|---|
H1 | 22 | TCP | Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Secure Shell (SSH) アクセス オプション | ◯ |
H2 | 2223 | TCP | Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | 仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス。 | ◯ |
H3 | 161 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Manager | Simple Network Management Protocol (SNMP)。ホストから 1 つまたは複数の外部 SNMP マネージャーに Simple Network Management Protocol のトラップを送信する場合にのみ必要です。 オプション | ✕ |
H4 | 111 | TCP | NFS ストレージサーバー | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | NFS 接続 オプション | ✕ |
H5 | 5900 - 6923 | TCP | 管理ポータルのクライアント VM ポータルのクライアント | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | VNC および SPICE を介したリモートゲストのコンソールアクセス。クライアントが仮想マシンに容易にアクセスできるように、これらのポートは開放しておく必要があります。 | ◯ (オプション) |
H6 | 5989 | TCP、UDP | Common Information Model Object Manager (CIMOM) | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Common Information Model Object Managers (CIMOM) がホスト上で実行中の仮想マシンをモニターリングするために使用します。このポートは、仮想化環境内の仮想マシンのモニターリングに CIMOM を使用する場合にのみ開放する必要があります。 オプション | ✕ |
H7 | 9090 | TCP | Red Hat Virtualization Manager クライアントマシン | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Cockpit がインストールされている場合には、Cockpit Web インターフェイスにアクセスするために必要です。 | ◯ |
H8 | 16514 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | libvirt を使った仮想マシンの移行 | ◯ |
H9 | 49152 - 49215 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | VDSM を使用した仮想マシンの移行とフェンシング。仮想マシンの自動および手動での移行を容易に実行できるように、これらのポートを開放しておく必要があります。 | ◯フェンスエージェントに応じて、libvirt を介して移行が行われます。 |
H10 | 54321 | TCP | Red Hat Virtualization Manager Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | VDSM による Manager およびその他の仮想化ホストとの通信 | ◯ |
H11 | 54322 | TCP | Red Hat Virtualization Manager (ImageIO Proxy サーバー) | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | ImageIO デーモン (ovirt-imageio-daemon) との通信に必要です。 | ◯ |
H12 | 6081 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Open Virtual Network (OVN) をネットワークプロバイダーとして使用している場合に、OVN がホスト間にトンネルを作成するために必要です。 | ✕ |
H13 | 53 | TCP、UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | DNS サーバー | 1023 より大きいポート番号からポート 53 への DNS ルックアップリクエストおよび応答。このポートは必須で、デフォルトで開いています。 | ✗ |
デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上の DNS および NTP への送信トラフィックを許可します。発信トラフィックを無効にする場合には、Red Hat Virtualization Host に例外を設定します。
Red Hat Enterprise Linux ホストは DNS および NTP サーバーにリクエストを送付します。他のノードでも DNS および NTP が必要な場合があります。その際には、それらのノードの要件を確認し、適切にファイアウォールを設定してください。