Red Hat Summit2.3. ネットワークの要件
2.3.1. 一般要件
Red Hat Virtualization では、Manager を実行している物理または仮想マシンで IPv6 を有効にしたままにしておく必要があります。お使いのシステムが IPv6 を使用しない場合でも、Manager マシンで IPv6 を無効にしないでください。
2.3.2. DNS、NTP、および IPMI フェンシングに対するファイアウォールの要件
以下のトピックに対するファイアウォールの要件は特殊なケースで、個別に検討する必要があります。
DNS および NTP
Red Hat Virtualization では DNS または NTP サーバーは作成されません。したがって、ファイアウォールには、受信トラフィックに対するオープンポートは必要ありません。
デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上の DNS および NTP への送信トラフィックを許可します。出力トラフィックを無効にする場合には、DNS および NTP サーバーに送付されるリクエストに例外を定義します。
- Red Hat Virtualization Manager およびすべてのホスト (Red Hat Virtualization Host および Red Hat Enterprise Linux ホスト) には、完全修飾ドメイン名と、全面的かつ完全な正引きおよび逆引きの名前解決が必要です。
- DNS サービスを Red Hat Virtualization 環境内の仮想マシンとして実行する方法はサポートされていません。Red Hat Virtualization 環境が使用する DNS サービスは、すべて環境の外部でホストする必要があります。
-
名前解決には、
/etc/hostsファイルの代わりに DNS を使用します。hosts ファイルを使用すると、より多くの作業が必要となり、誤設定の可能性がより高くなります。
IPMI およびその他のフェンシング機構 (オプション)
IPMI (Intelligent Platform Management Interface) およびその他のフェンシング機構については、ファイアウォールには、受信トラフィックに対するオープンポートは必要ありません。
デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上のポートへの送信 IPMI トラフィックを許可します。発信トラフィックを無効にする場合には、IPMI またはフェンシングサーバーに送付されるリクエストに例外を設定します。
クラスター内の各 Red Hat Virtualization Host および Red Hat Enterprise Linux ホストは、クラスター内にある残りの全ホストのフェンシングデバイスに接続できる必要があります。クラスターホストにエラー (ネットワークエラー、ストレージエラーなど) が発生し、ホストとして機能できない場合は、データセンターの他のホストに接続できる必要があります。
具体的なポート番号は、使用するフェンスエージェントのタイプおよびその設定により異なります。
以降のセクションで説明するファイアウォール要件の表には、このオプションは含まれていません。
2.3.3. Red Hat Virtualization Manager ファイアウォールの要件
Red Hat Virtualization Manager では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。
engine-setup スクリプトは、ファイアウォールを自動的に設定できます。
このセクションに記載するファイアウォール設定は、デフォルトの設定を前提としています。
これらのファイアウォール要件の模式図が、https://access.redhat.com/articles/3932211 に記載されています。表に書かれた ID を使用して、模式図内の接続を検索できます。
| ID | ポート | プロトコル | 送信元 | 送信先 | 目的 | デフォルトで暗号化 |
|---|---|---|---|---|---|---|
| M1 | - | ICMP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Manager | オプション 診断に役立つ場合があります。 | いいえ |
| M2 | 22 | TCP | バックエンドの設定やソフトウェアのアップグレードなど、Manager のメンテナンスに使うシステム | Red Hat Virtualization Manager | Secure Shell (SSH) アクセス オプション | はい |
| M3 | 2222 | TCP | 仮想マシンのシリアルコンソールにアクセスするクライアント | Red Hat Virtualization Manager | 仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス。 | はい |
| M4 | 80、443 | TCP | 管理ポータルのクライアント 仮想マシンポータルのクライアント Red Hat Virtualization Host Red Hat Enterprise Linux ホスト REST API クライアント | Red Hat Virtualization Manager | Manager に HTTP (ポート 80、暗号化なし) および HTTPS (ポート 443、暗号化あり) のアクセスを提供します。HTTP は接続を HTTPS にリダイレクトします。 | はい |
| M5 | 6100 | TCP | 管理ポータルのクライアント 仮想マシンポータルのクライアント | Red Hat Virtualization Manager |
Manager 上で WebSocket プロキシーを実行している場合に、Web ベースのコンソールクライアント ( | いいえ |
| M6 | 7410 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Manager |
ホストの Kdump が有効な場合には、Manager の fence_kdump リスナー用にこのポートを開きます。fence_kdump の高度な設定 を参照してください。 | いいえ |
| M7 | 54323 | TCP | 管理ポータルのクライアント |
Red Hat Virtualization Manager ( |
| はい |
| M8 | 6642 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Open Virtual Network (OVN) southbound データベース | Open Virtual Network (OVN) データベースへの接続 | はい |
| M9 | 9696 | TCP | OVN 用外部ネットワークプロバイダーのクライアント | OVN 用外部ネットワークプロバイダー | OpenStack Networking API | はい。engine-setup によって生成された設定による暗号化。 |
| M10 | 35357 | TCP | OVN 用外部ネットワークプロバイダーのクライアント | OVN 用外部ネットワークプロバイダー | OpenStack Identity API | はい。engine-setup によって生成された設定による暗号化。 |
| M11 | 53 | TCP、UDP | Red Hat Virtualization Manager | DNS サーバー | 1023 より大きいポート番号からポート 53 への DNS ルックアップリクエストおよび応答。デフォルトで開いています。 | いいえ |
| M12 | 123 | UDP | Red Hat Virtualization Manager | NTP サーバー | 1023 より大きいポート番号からポート 123 への NTP リクエストおよび応答。デフォルトで開いています。 | いいえ |
-
デフォルトの設定では、OVN northbound データベース (6641) のクライアントは
ovirt-provider-ovnのみなので、OVN northbound データベースのポート (6641) は記載されていません。両者は同じホスト上で動作しているので、その通信はネットワークには現れません。 - デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上の DNS および NTP への送信トラフィックを許可します。出力トラフィックを無効にする場合には、Manager がリクエストを DNS および NTP サーバーに送信するように例外を設定します。他のノードでも DNS および NTP が必要な場合があります。その際には、それらのノードの要件を確認し、適切にファイアウォールを設定してください。
2.3.4. ホストファイアウォールの要件
Red Hat Enterprise Linux ホストおよび Red Hat Virtualization Host (RHVH) では、ネットワークトラフィックがシステムのファイアウォールを通過できるように複数のポートを開放しておく必要があります。新たなホストを Manager に追加する際に、ファイアウォールルールがデフォルトで自動的に設定され、既存のファイアウォール設定はすべて上書きされます。
新規ホストの追加時のファイアウォール自動設定を無効にするには、Advanced Parameters の下の Automatically configure host firewall のチェックボックスからチェックを外します。
ホストのファイアウォールルールをカスタマイズするには、RHV: How to customize the Host’s firewall rules? を参照してください。
これらのファイアウォール要件の図は、Red Hat Virtualization: Firewall Requirements Diagram で入手できます。表に書かれた ID を使用して、模式図内の接続を検索できます。
| ID | ポート | プロトコル | 送信元 | 送信先 | 目的 | デフォルトで暗号化 |
|---|---|---|---|---|---|---|
| H1 | 22 | TCP | Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Secure Shell (SSH) アクセス オプション | はい |
| H2 | 2223 | TCP | Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | 仮想マシンのシリアルコンソールへの接続を可能にするための Secure Shell (SSH) アクセス。 | はい |
| H3 | 161 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Manager | Simple Network Management Protocol (SNMP)。ホストから 1 つまたは複数の外部 SNMP マネージャーに Simple Network Management Protocol のトラップを送信する場合にのみ必要です。 オプション | いいえ |
| H4 | 111 | TCP | NFS ストレージサーバー | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | NFS 接続 オプション | いいえ |
| H5 | 5900 - 6923 | TCP | 管理ポータルのクライアント 仮想マシンポータルのクライアント | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | VNC および SPICE を介したリモートゲストのコンソールアクセス。クライアントが仮想マシンに容易にアクセスできるように、これらのポートは開放しておく必要があります。 | はい (オプション) |
| H6 | 5989 | TCP、UDP | Common Information Model Object Manager (CIMOM) | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Common Information Model Object Managers (CIMOM) がホスト上で実行中の仮想マシンをモニタリングするために使用します。このポートは、仮想化環境内の仮想マシンのモニタリングに CIMOM を使用する場合にのみ開放する必要があります。 オプション | いいえ |
| H7 | 9090 | TCP | Red Hat Virtualization Manager クライアントマシン | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Cockpit がインストールされている場合には、Cockpit Web インターフェイスにアクセスするために必要です。 | はい |
| H8 | 16514 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | libvirt を使用した仮想マシンの移行 | はい |
| H9 | 49152 - 49215 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | VDSM を使用した仮想マシンの移行とフェンシング。仮想マシンの自動および手動での移行を容易に実行できるように、これらのポートを開放しておく必要があります。 | はいフェンスエージェントに応じて、libvirt を介して移行が行われます。 |
| H10 | 54321 | TCP | Red Hat Virtualization Manager Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | VDSM による Manager およびその他の仮想化ホストとの通信 | はい |
| H11 | 54322 | TCP |
Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト |
| はい |
| H12 | 6081 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | Open Virtual Network (OVN) をネットワークプロバイダーとして使用している場合に、OVN がホスト間にトンネルを作成するために必要です。 | いいえ |
| H13 | 53 | TCP、UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | DNS サーバー | 1023 より大きいポート番号からポート 53 への DNS ルックアップリクエストおよび応答。このポートは必須で、デフォルトで開いています。 | いいえ |
| H14 | 123 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux ホスト | NTP サーバー | 1023 より大きいポート番号からポート 123 への NTP リクエストおよび応答。このポートは必須で、デフォルトで開いています。 | |
| H15 | 4500 | TCP、UDP | Red Hat Virtualization Host | Red Hat Virtualization Host | インターネットセキュリティープロトコル (IPSec) | はい |
| H16 | 500 | UDP | Red Hat Virtualization Host | Red Hat Virtualization Host | インターネットセキュリティープロトコル (IPSec) | はい |
| H17 | - | AH、ESP | Red Hat Virtualization Host | Red Hat Virtualization Host | インターネットセキュリティープロトコル (IPSec) | はい |
デフォルトでは、Red Hat Enterprise Linux は任意のアドレス上の DNS および NTP への送信トラフィックを許可します。出力トラフィックを無効にする場合には、Red Hat Virtualization Host に例外を設定します。
Red Hat Enterprise Linux ホストは DNS および NTP サーバーにリクエストを送信します。他のノードでも DNS および NTP が必要な場合があります。その際には、それらのノードの要件を確認し、適切にファイアウォールを設定してください。
2.3.5. データベースサーバーファイアウォールの要件
Red Hat Virtualization では、Manager データベース (engine) および Data Warehouse データベース (ovirt-engine-history) でのリモートデータベースサーバーの使用をサポートしています。リモートデータベースサーバーを使用する予定がある場合は、Manager および Data Warehouse サービス (Manager と分離することが可能) からの接続を許可する必要があります。
同様に、外部システムからローカルまたはリモートの Data Warehouse データベースにアクセスする予定がある場合は、そのシステムからのアクセスをデータベースで許可する必要があります。
外部システムからの Manager データベースへのアクセスはサポートされていません。
これらのファイアウォール要件の模式図が、https://access.redhat.com/articles/3932211 に記載されています。表に書かれた ID を使用して、模式図内の接続を検索できます。
| ID | ポート | プロトコル | 送信元 | 送信先 | 目的 | デフォルトで暗号化 |
|---|---|---|---|---|---|---|
| D1 | 5432 | TCP、UDP | Red Hat Virtualization Manager Data Warehouse サービス |
Manager (
Data Warehouse ( | PostgreSQL データベース接続のデフォルトポート | |
| D2 | 5432 | TCP、UDP | 外部のシステム |
Data Warehouse ( | PostgreSQL データベース接続のデフォルトポート | デフォルトでは無効です。無効ですが、有効にできます。 |
2.3.6. 最大伝送単位の要件
デプロイメント中のホストで推奨される最大伝送単位 (MTU) の設定は 1500 です。環境が別の MTU に設定された後で、この設定を更新することができます。MTU 設定の変更に関する詳細は、How to change the Hosted Engine VM network MTU を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}