2.3. 방화벽
2.3.1. Red Hat Virtualization Manager 방화벽 요구 사항
Red Hat Virtualization Manager가 시스템 방화벽을 통한 네트워크 트래픽을 허용하려면 여러 개의 포트를 열어야 합니다.
engine-setup
스크립트를 사용해서 방화벽을 자동으로 설정할 수 있지만 이것은 기존 방화벽 설정을 모두 덮어쓰기합니다.
기존 방화벽 설정이 이미 있다면 Manager가 필요로 하는 방화벽 규칙을 사용자가 수동으로 입력해야 합니다.
engine-setup
명령을 사용해서 필요한 iptables
규칙 목록을 /usr/share/ovirt-engine/conf/iptables.example
파일에 저장합니다.
다음 부분에 있는 방화벽 설정은 기본 설정을 전제로 합니다. 설치 시 기본 포트가 아닌 HTTP 및 HTTPS 포트를 선택할 경우 방화벽 규칙을 수정해서 다음 목록의 기본 포트인
80
및 443
포트가 아닌 실제 선택된 해당 포트에 네트워크 트래픽을 허용합니다.
포트 | 프로토콜 | 소스 | 대상 | 목적 |
---|---|---|---|---|
- | ICMP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Red Hat Virtualization Manager
| Red Hat Virtualization Manager 등록 시 온라인 여부를 확인하기 위해 가상화 호스트가 Manager에게 ICMP 핑(ping) 요청을 보냅니다. |
22 | TCP |
백엔드 설정과 소프트웨어 업그레이드를 포함하는 Manager 관리 시스템
|
Red Hat Virtualization Manager
|
보안 쉘 (SSH) 액세스
선택 사항
|
2222 | TCP |
가상 머신 직렬 콘솔에 액세스하는 클라이언트
|
Red Hat Virtualization Manager
|
가상 머신 직렬 콘솔 연결을 가능하게 하는 보안 쉘 (SSH) 액세스
|
80, 443 | TCP |
관리 포털 클라이언트
사용자 포털 클라이언트
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
REST API 클라이언트
|
Red Hat Virtualization Manager
|
Manager에게 HTTP 및 HTTPS 액세스 제공
|
6100 | TCP |
관리 포털 클라이언트
사용자 포털 클라이언트
|
Red Hat Virtualization Manager
|
websocket 프록시가 Manager에서 실행중일 때 웹 기반 콘솔 클라이언트(
noVNC 및 spice-html5 )에 websocket 프록시 액세스를 제공합니다. 그러나 websocket 프록시가 다른 호스트에서 실행중인 경우 해당 포트를 사용하지 않습니다.
|
7410 | UDP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Red Hat Virtualization Manager
| Manager가 Kdump 알림을 받을 수 있도록 반드시 열려 있어야 합니다. |
중요
Red Hat Virtualization Manager가 NFS 스토리지를 내보내야 하는 ISO 스토리지 도메인과 같은 환경에서는 추가 포트가 방화벽을 통과하도록 허용해야 합니다. 사용중인 NFS 버전에 해당하는 포트에 방화벽 예외를 허가합니다:
NFSv4
- NFS용 TCP 포트
2049
NFSv3
- NFS용 TCP 및 UDP 포트
2049
- TCP 및 UDP 포트
111
(rpcbind
/sunrpc
). MOUNTD_PORT="port"
로 지정된 TCP 및 UDP 포트STATD_PORT="port"
로 지정된 TCP 및 UDP 포트LOCKD_TCPPORT="port"
로 지정된 TCP 포트LOCKD_UDPPORT="port"
로 지정된 UDP 포트
MOUNTD_PORT
, STATD_PORT
, LOCKD_TCPPORT
, 그리고 LOCKD_UDPPORT
포트는 모두 /etc/sysconfig/nfs
파일에 설정되어 있습니다.
2.3.2. 하이퍼바이저 방화벽 요구 사항
Red Hat Enterprise Linux 호스트와 Red Hat Virtualization Host(RHVH)가 시스템 방화벽을 통한 네트워크 트래픽을 허용하려면 여러 개의 포트를 열어야 합니다. Red Hat Virtualization Host의 경우 이런 방화벽 규칙이 자동 설정됩니다. 하지만 Red Hat Enterprise Linux 호스트의 경우 방화벽을 수동 설정해야 합니다.
포트 | 프로토콜 | 소스 | 대상 | 목적 |
---|---|---|---|---|
22 | TCP |
Red Hat Virtualization Manager
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
보안 쉘 (SSH) 액세스
선택 사항
|
2223 | TCP |
Red Hat Virtualization Manager
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
가상 머신 직렬 콘솔 연결을 가능하게 하는 보안 쉘 (SSH) 액세스
|
161 | UDP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Red Hat Virtualization Manager
|
단순 네트워크 관리 프로토콜(SNMP). 호스트에서 SNMP 트랩을 하나 이상의 외부 SNMP 관리자에게 보내는 경우에만 필요합니다.
선택 사항
|
5900 - 6923 | TCP |
관리 포털 클라이언트
사용자 포털 클라이언트
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
VNC 및 SPICE를 통한 원격 게스트 콘솔 액세스. 해당 포트가 열려 있어야 클라이언트가 가상 머신에 액세스할 수 있습니다.
|
5989 | TCP, UDP |
Common Information Model Object Manager (CIMOM)
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Common Information Model Object Manager(CIMOM)가 호스트에 실행중인 가상 머신을 모니터링하는 데 사용됩니다. 사용자의 가상화 환경에서 CIMOM을 사용해서 가상 머신을 모니터링하는 경우에만 필요합니다.
선택 사항
|
9090 | TCP |
Red Hat Virtualization Manager
클라이언트 시스템
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Cockpit 사용자 인터페이스 액세스
선택 사항
|
16514 | TCP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
| libvirt 을 사용한 가상 머신 마이그레이션
|
49152 - 49216 | TCP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
VDSM을 사용한 가상 머신 마이그레이션 및 차단. 해당 포트가 열려 있어야 가상 머신의 자동 및 수동 마이그레이션이 가능합니다.
|
54321 | TCP |
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 호스트
|
Manager와 다른 가상화 호스트와의 VDSM 통신
|
2.3.3. 디렉토리 서버 방화벽 요구 사항
Red Hat Virtualization에서 사용자 인증을 지원하려면 디렉토리 서버가 필요합니다. 디렉토리 서버 방화벽에 여러 개의 포트가 열려 있어야 Red Hat Virtualization Manager가 사용하는 GSS-API 인증을 지원할 수 있습니다.
포트 | 프로토콜 | 소스 | 대상 | 목적 |
---|---|---|---|---|
88, 464 | TCP, UDP |
Red Hat Virtualization Manager
|
디렉토리 서버
| Kerberos 인증 |
389, 636 | TCP |
Red Hat Virtualization Manager
|
디렉토리 서버
| Lightweight Directory Access Protocol(LDAP) 및 SSL을 통한 LDAP. |
2.3.4. 데이터베이스 서버 방화벽 요구 사항
Red Hat Virtualization은 원격 데이터베이스 서버의 사용을 지원합니다. Red Hat Virtualization 사용 시 원격 데이터베이스 서버를 사용하려면 해당 원격 데이터베이스 서버가 Manager로부터의 연결을 허용하는지 확인해야 합니다.
포트 | 프로토콜 | 소스 | 대상 | 목적 |
---|---|---|---|---|
5432 | TCP, UDP |
Red Hat Virtualization Manager
|
PostgreSQL 데이터베이스 서버
| PostgreSQL 데이터베이스 연결에 사용할 기본 포트 |
설치 시 기본 옵션인 Manager 자체에 로컬 데이터베이스 서버를 사용하는 경우 추가 방화벽 규칙이 필요하지 않습니다.