2.3. 네트워킹 요구사항
2.3.1. 일반 요구 사항
Red Hat Virtualization에서는 Manager를 실행하는 실제 또는 가상 시스템에서 IPv6를 계속 사용하도록 유지해야 합니다. 시스템에서 IPv6를 사용하지 않더라도 Manager 시스템에서 IPv6를 비활성화 하지 마십시오.
2.3.2. 자체 호스팅 엔진 배포를 위한 네트워크 범위
자체 호스팅 엔진 배포 프로세스는 192.168. 아래의 /24 네트워크 주소를 일시적으로 사용합니다. 기본값은 192.168.222.0/24 이며 이 주소가 사용 중인 경우 사용 중이 아닌 주소를 찾을 때까지 192.168 의 다른 /24 주소를 시도합니다. 이 범위에서 사용되지 않은 네트워크 주소를 찾지 못하면 배포에 실패합니다.
명령줄을 사용하여 자체 호스팅 엔진을 설치할 때 --ansible-extra-vars=he_ipv4_subnet_prefix=PREFIX 옵션이 있는 대체 /24 네트워크 범위를 사용하도록 배포 스크립트를 설정할 수 있습니다. 여기서 PREFIX 는 기본 범위의 접두사입니다. 예를 들면 다음과 같습니다.
# hosted-engine --deploy --ansible-extra-vars=he_ipv4_subnet_prefix=192.168.222
명령줄을 사용하여 Red Hat Virtualization을 자체 호스팅 엔진으로 설치하면 다른 범위를 설정할 수 있습니다.
2.3.3. DNS, NTP 및 IPMI 펜싱에 대한 방화벽 요구 사항
다음 모든 항목에 대한 방화벽 요구 사항은 개별 고려 사항이 필요한 특별한 사례입니다.
DNS 및 NTP
Red Hat Virtualization은 DNS 또는 NTP 서버를 생성하지 않으므로 방화벽에 들어오는 트래픽을 위해 열려 있는 포트가 없어도 됩니다.
기본적으로 Red Hat Enterprise Linux는 모든 대상 주소에서 DNS 및 NTP로 아웃바운드 트래픽을 허용합니다. 나가는 트래픽을 비활성화하는 경우 DNS 및 NTP 서버로 전송되는 요청에 대한 예외를 정의합니다.
- Red Hat Virtualization Manager 및 모든 호스트(Red Hat Virtualization Host 및 Red Hat Enterprise Linux 호스트)에는 정규화된 도메인 이름과 완벽하게 정렬된 전방향 및 역방향 이름 확인이 있어야 합니다.
- Red Hat Virtualization 환경에서는 DNS 서비스를 가상 시스템으로 실행하는 것은 지원되지 않습니다. Red Hat Virtualization 환경에서 사용하는 모든 DNS 서비스를 환경 외부에서 호스팅해야 합니다.
-
이름 확인을 위해
/etc/hosts파일 대신 DNS를 사용합니다. 일반적으로 hosts 파일을 사용하려면 더 많은 작업이 필요하며 오류가 발생할 가능성이 더 큽니다.
IPMI 및 기타 펜싱 메커니즘 (선택 사항)
IPMI(Intelligent Platform Management Interface) 및 기타 펜싱 메커니즘의 경우 방화벽에 들어오는 트래픽을 위한 포트를 열 필요가 없습니다.
기본적으로 Red Hat Enterprise Linux는 모든 대상 주소의 포트에 대한 아웃바운드 IPMI 트래픽을 허용합니다. 나가는 트래픽을 비활성화하는 경우 IPMI 또는 펜싱 서버로 전송되는 요청에 대해 예외를 수행하십시오.
클러스터의 각 Red Hat Virtualization Host 및 Red Hat Enterprise Linux 호스트는 클러스터에 있는 다른 모든 호스트의 펜싱 장치에 연결할 수 있어야 합니다. 클러스터 호스트에 오류가 발생하면 (네트워크 오류, 스토리지 오류...)) 및 호스트로 작동할 수 없으며 데이터 센터의 다른 호스트에 연결할 수 있어야 합니다.
특정 포트 번호는 사용 중인 펜스 에이전트 유형 및 구성 방법에 따라 다릅니다.
다음 섹션의 방화벽 요구 사항 테이블은 이 옵션을 나타내지 않습니다.
2.3.4. Red Hat Virtualization Manager 방화벽 요구 사항
Red Hat Virtualization Manager에서는 시스템 방화벽을 통한 네트워크 트래픽을 허용하기 위해 여러 개의 포트를 열어야 합니다.
engine-setup 스크립트는 방화벽을 자동으로 구성할 수 있습니다.
여기에 문서화된 방화벽 구성은 기본 구성을 가정합니다.
이러한 방화벽 요구 사항의 다이어그램은 https://access.redhat.com/articles/3932211 에서 확인할 수 있습니다. 테이블의 ID를 사용하여 다이어그램에서 연결을 조회할 수 있습니다.
| ID | 포트 | 프로토콜 | 소스 | 대상 | 목적 | 기본적으로 암호화됨 |
|---|---|---|---|---|---|---|
| M1 | - | ICMP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Manager | 선택 사항: 진단에 도움이 될 수 있습니다. | 없음 |
| M2 | 22 | TCP | 백엔드 구성 및 소프트웨어 업그레이드를 포함하여 관리자의 유지 관리에 사용되는 시스템. | Red Hat Virtualization Manager | SSH(Secure Shell) 액세스. 선택 사항: | 있음 |
| M3 | 2222 | TCP | 가상 시스템 직렬 콘솔에 액세스하는 클라이언트. | Red Hat Virtualization Manager | 가상 시스템 직렬 콘솔에 연결할 수 있도록 SSH(Secure Shell) 액세스. | 있음 |
| M4 | 80, 443 | TCP | 관리 포털 클라이언트 VM 포털 클라이언트 Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 REST API 클라이언트 | Red Hat Virtualization Manager | 관리자에 대한 HTTP(포트 80, 암호화되지 않음) 및 HTTPS(포트 443, 암호화됨) 액세스를 제공합니다. HTTP는 연결을 HTTPS로 리디렉션합니다. | 있음 |
| M5 | 6100 | TCP | 관리 포털 클라이언트 VM 포털 클라이언트 | Red Hat Virtualization Manager |
Manager에서 websocket 프록시가 실행 중인 경우 웹 기반 콘솔 클라이언트인 | 없음 |
| M6 | 7410 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Manager |
호스트에서 Kdump를 활성화하면 Manager에서 fence_kdump 리스너에 대해 이 포트를 엽니다. fence_kdump 고급 구성을 참조하십시오. | 없음 |
| M7 | 54323 | TCP | 관리 포털 클라이언트 |
Red Hat Virtualization Manager( |
| 있음 |
| M8 | 6642 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | OVN(Virtual Network) southbound 데이터베이스 열기 | OVN(Open Virtual Network) 데이터베이스에 연결 | 있음 |
| M9 | 9696 | TCP | OVN의 외부 네트워크 공급자의 클라이언트 | OVN의 외부 네트워크 공급자 | OpenStack Networking API | 예, engine-setup에 의해 생성된 구성이 있습니다. |
| M10 | 35357 | TCP | OVN의 외부 네트워크 공급자의 클라이언트 | OVN의 외부 네트워크 공급자 | OpenStack Identity API | 예, engine-setup에 의해 생성된 구성이 있습니다. |
| M11 | 53 | TCP, UDP | Red Hat Virtualization Manager | DNS Server | 1023 이상의 포트에서 포트 53으로의 DNS 조회 요청 및 응답. 기본적으로 를 엽니다. | 없음 |
| M12 | 123 | UDP | Red Hat Virtualization Manager | NTP 서버 | 1023 이상의 포트에서 123 포트로의 NTP 요청 및 응답. 기본적으로 를 엽니다. | 없음 |
-
기본 구성에서 OVN Northbound 데이터베이스의 유일한 클라이언트 (6641)가
ovirt-provider-ovn이므로 OVN Northbound 데이터베이스의 포트(641)가 나열되지 않습니다. 둘 다 동일한 호스트에서 실행되므로 통신이 네트워크에 표시되지 않습니다. - 기본적으로 Red Hat Enterprise Linux는 모든 대상 주소에서 DNS 및 NTP로 아웃바운드 트래픽을 허용합니다. 나가는 트래픽을 비활성화하는 경우 관리자가 DNS 및 NTP 서버에 요청을 보낼 수 있도록 예외를 만듭니다. 다른 노드에도 DNS 및 NTP가 필요할 수 있습니다. 이 경우 해당 노드의 요구 사항을 확인하고 그에 따라 방화벽을 구성합니다.
2.3.5. 호스트 방화벽 요구 사항
Red Hat Enterprise Linux 호스트 및 RHVH(Red Hat Virtualization Host)에서는 시스템의 방화벽을 통해 네트워크 트래픽을 허용하도록 여러 개의 포트를 열어야 합니다. 새 호스트를 Manager에 추가하여 기존 방화벽 구성을 덮어쓸 때 방화벽 규칙은 기본적으로 자동으로 구성됩니다.
새 호스트를 추가할 때 자동 방화벽 구성을 비활성화하려면 Advanced Parameters (고급 매개 변수)에서 Automatically configure host firewall (호스트 방화벽 자동 구성) 확인란을 지웁니다.
호스트 방화벽 규칙을 사용자 지정하려면 RHV를 참조하십시오. 호스트의 방화벽 규칙을 사용자 지정하는 방법?.
이러한 방화벽 요구 사항의 다이어그램은 Red Hat Virtualization에서 확인할 수 있습니다. 방화벽 요구 사항 다이어그램. 테이블의 ID를 사용하여 다이어그램에서 연결을 조회할 수 있습니다.
| ID | 포트 | 프로토콜 | 소스 | 대상 | 목적 | 기본적으로 암호화됨 |
|---|---|---|---|---|---|---|
| H1 | 22 | TCP | Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | SSH(Secure Shell) 액세스. 선택 사항: | 있음 |
| H2 | 2223 | TCP | Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | 가상 시스템 직렬 콘솔에 연결할 수 있도록 SSH(Secure Shell) 액세스. | 있음 |
| H3 | 161 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Manager | SNMP(Simple Network Management Protocol). 호스트에서 하나 이상의 외부 SNMP 관리자로 전송된 Simple Network Management Protocol 트랩을 원할 경우에만 필요합니다. 선택 사항: | 없음 |
| H4 | 111 | TCP | NFS 스토리지 서버 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | NFS 연결. 선택 사항: | 없음 |
| H5 | 5900 - 6923 | TCP | 관리 포털 클라이언트 VM 포털 클라이언트 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | VNC 및 SPICE를 통한 원격 게스트 콘솔 액세스. 가상 시스템에 대한 클라이언트 액세스를 용이하게 하려면 이러한 포트를 열어야 합니다. | 예 (선택 사항) |
| H6 | 5989 | TCP, UDP | CIMOM(Common Information Model Object Manager) | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | 호스트에서 실행되는 가상 시스템을 모니터링하기 위해 CIMOM(Common Information Model Object Manager)에서 사용합니다. CIMOM을 사용하여 가상화 환경에서 가상 머신을 모니터링하려는 경우에만 필요합니다. 선택 사항: | 없음 |
| H7 | 9090 | TCP | Red Hat Virtualization Manager 클라이언트 시스템 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | 설치된 경우 Cockpit 웹 인터페이스에 액세스하는 데 필요합니다. | 있음 |
| H8 | 16514 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | libvirt 를 사용한 가상 시스템 마이그레이션. | 있음 |
| H9 | 49152 - 49215 | TCP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | VDSM을 사용한 가상 시스템 마이그레이션 및 펜싱. 가상 시스템의 자동 및 수동 마이그레이션을 용이하게 하려면 이러한 포트가 열려 있어야 합니다. | 네, 필요합니다. 펜싱을 위한 에이전트에 따라 libvirt를 통해 마이그레이션이 수행됩니다. |
| H10 | 54321 | TCP | Red Hat Virtualization Manager Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | 관리자 및 기타 가상화 호스트와의 VDSM 통신. | 있음 |
| H11 | 54322 | TCP |
Red Hat Virtualization Manager | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 |
| 있음 |
| H12 | 6081 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | 필요한 경우 OVN이 호스트 간에 터널을 생성할 수 있도록 OVN을 네트워크 프로바이더로 사용하는 경우 필요합니다. | 없음 |
| H13 | 53 | TCP, UDP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | DNS Server | 1023 이상의 포트에서 포트 53으로의 DNS 조회 요청 및 응답. 이 포트는 필요하며 기본적으로 열립니다. | 없음 |
| H14 | 123 | UDP | Red Hat Virtualization Host Red Hat Enterprise Linux 호스트 | NTP 서버 | 1023 이상의 포트에서 123 포트로의 NTP 요청 및 응답. 이 포트는 필요하며 기본적으로 열립니다. | |
| H15 | 4500 | TCP, UDP | Red Hat Virtualization Host | Red Hat Virtualization Host | 인터넷 보안 프로토콜 (IPSec) | 있음 |
| H16 | 500 | UDP | Red Hat Virtualization Host | Red Hat Virtualization Host | 인터넷 보안 프로토콜 (IPSec) | 있음 |
| H17 | - | AH, ESP | Red Hat Virtualization Host | Red Hat Virtualization Host | 인터넷 보안 프로토콜 (IPSec) | 있음 |
기본적으로 Red Hat Enterprise Linux는 모든 대상 주소에서 DNS 및 NTP로 아웃바운드 트래픽을 허용합니다. 나가는 트래픽을 비활성화하는 경우 Red Hat Virtualization Host에 대한 예외를 설정하십시오.
Red Hat Enterprise Linux는 DNS 및 NTP 서버에 요청을 보내기 위해 호스팅합니다. 다른 노드에도 DNS 및 NTP가 필요할 수 있습니다. 이 경우 해당 노드의 요구 사항을 확인하고 그에 따라 방화벽을 구성합니다.
2.3.6. 데이터베이스 서버 방화벽 요구 사항
Red Hat Virtualization은 Manager 데이터베이스(엔진) 및 데이터 웨어하우스 데이터베이스(ovirt-engine-history)에 대해 원격 데이터베이스 서버를 사용할 수 있도록 지원합니다. 원격 데이터베이스 서버를 사용하려면 관리자 및 데이터 웨어하우스 서비스(관리자와 분리될 수 있음)와의 연결을 허용해야 합니다.
마찬가지로 외부 시스템에서 로컬 또는 원격 데이터 웨어하우스 데이터베이스에 액세스하려는 경우 데이터베이스에서 해당 시스템의 연결을 허용해야 합니다.
외부 시스템에서 Manager 데이터베이스에 액세스하는 것은 지원되지 않습니다.
이러한 방화벽 요구 사항의 다이어그램은 https://access.redhat.com/articles/3932211 에서 확인할 수 있습니다. 테이블의 ID를 사용하여 다이어그램에서 연결을 조회할 수 있습니다.
| ID | 포트 | 프로토콜 | 소스 | 대상 | 목적 | 기본적으로 암호화됨 |
|---|---|---|---|---|---|---|
| D1 | 5432 | TCP, UDP | Red Hat Virtualization Manager 데이터 웨어하우스 서비스 |
관리자 (
데이터 웨어하우스( | PostgreSQL 데이터베이스 연결의 기본 포트입니다. | |
| D2 | 5432 | TCP, UDP | 외부 시스템 |
데이터 웨어하우스( | PostgreSQL 데이터베이스 연결의 기본 포트입니다. | 기본적으로 비활성되어 있습니다. 아니요, 하지만 활성화할 수 있습니다. |
2.3.7. 최대 전송 단위 요구 사항
배포 중에 호스트에 대해 권장되는 최대 전송 단위(MTU) 설정은 1500입니다. 환경이 다른 MTU로 설정된 후 이 설정을 업데이트할 수 있습니다. MTU 설정을 변경하는 방법에 대한 자세한 내용은 호스팅 엔진 VM 네트워크 MTU를 변경하는 방법을 참조하십시오.
