红帽全球峰会第 5 章 网络端口和协议
Red Hat Ansible Automation Platform 使用多个端口与其服务进行通信。这些端口必须处于打开状态,并可用于到 Red Hat Ansible Automation Platform 服务器的传入连接,以便它正常工作。确保这些端口可用,且服务器防火墙没有阻断这些端口。
以下架构图是完全部署的 Ansible Automation Platform 的示例,其中包含所有可能的组件。
图 5.1. Ansible Automation Platform 网络端口和协议
下表指明了目的地端口和网络流量的方向:
以下列出的默认目标端口和安装程序清单可以配置。如果您选择将它们配置为适合您的环境,则可能会遇到行为的变化。
| 端口 | 协议 | Service | Source | 目的地 | 需要的目的 | 安装程序清单变量 |
|---|---|---|---|---|---|---|
| 22 | TCP | SSH | 安装程序节点 | Automation hub | 安装(临时) |
|
| 22 | TCP | SSH | 安装程序节点 | 控制器节点 | 安装(临时) |
|
| 22 | TCP | SSH | 安装程序节点 | EDA 节点 | 安装(临时) |
|
| 22 | TCP | SSH | 安装程序节点 | 执行节点 | 安装(临时) |
|
| 22 | TCP | SSH | 安装程序节点 | hop 节点 | 安装(临时) |
|
| 22 | TCP | SSH | 安装程序节点 | 混合节点 | 安装(临时) |
|
| 22 | TCP | SSH | 安装程序节点 | PostgreSQL 数据库 | 在安装过程中远程访问(临时) |
|
| 80/443 | TCP | HTTP/HTTPS | 安装程序节点 | Automation hub | 在使用捆绑包安装程序时,允许安装程序节点将执行环境镜像推送到自动化中心。 | 固定的值 |
| 80/443 | TCP | HTTP/HTTPS | 执行节点 | Automation hub | 允许执行节点从自动化中心拉取执行环境镜像。 | 固定的值 |
| 80/443 | TCP | HTTP/HTTPS | 自动化控制器 | Automation hub | 用于拉取集合和/或容器镜像执行环境。 | 固定的值 |
| 443 | TCP | HTTPS | 控制器节点 | 客户端 | Web UI/API |
|
| 443 | TCP | HTTPS | 控制器节点 | OpenShift Container Platform | 仅在使用容器组运行作业时才需要。 | OpenShift API 服务器的主机名 |
| 5432 | TCP | PostgreSQL | 控制器节点 | PostgreSQL 数据库 | 仅在将内部数据库与另一个组件一起使用时才打开。否则,不应打开此端口。 |
|
| 5432 | TCP | PostgreSQL | EDA 节点 | PostgreSQL 数据库 | 仅在将内部数据库与另一个组件一起使用时才打开。否则,不应打开此端口。 |
|
| 5432 | TCP | PostgreSQL | Automation hub | PostgreSQL 数据库 | 仅在将内部数据库与另一个组件一起使用时才打开。否则,不应打开此端口。 |
|
| 27199 | TCP | Receptor | 控制器节点 | 执行节点 | 可配置 与控制器直接对等的 Mesh 节点。 涉及的直接节点。27199 通信可以是同时用于执行节点的方法(取决于安装清单) |
|
| 27199 | TCP | Receptor | 控制器节点 | hop 节点 | 可配置 如果通过跃点节点转发,从跃点节点到 Receptor 端口的ENABLE 连接。 |
|
| 27199 | TCP | Receptor | 控制器节点 | 混合节点 | 可配置 如果通过非连接的节点转发,从控制器到 Receptor 端口的ENABLE 连接。 |
|
| 27199 | TCP | Receptor | 执行节点 | hop 节点 | 可配置 Mesh 27199 通信可以是这两个方法(取决于安装清单)用于执行节点 从控制器到 receptor 端口的 ALLOW 连接 |
|
| 27199 | TCP | Receptor | 执行节点 | 控制器节点 | 可配置 Mesh 27199 通信可以是这两个方法(取决于安装清单)用于执行节点 从控制器到 receptor 端口的 ALLOW 连接 |
|
- 混合节点充当控制和执行节点的组合,因此混合节点共享这两者的连接。
-
如果定义了
receptor_listener_port,机器还需要一个可用的开放端口来建立入站 TCP 连接,例如 27199。 可能是有些服务器没有侦听 receptor 端口(默认值为 27199)
假设您有一个带有节点 A、B、C、D 的 Control plane
RPM 安装程序使用最低特权方法在 control plane 节点之间创建高度连接的对等点,并仅在需要它的那些节点上打开 tcp 侦听器。所有 receptor 连接都是双向的,因此在创建连接后,receptor 可以在两个方向通信。
以下是三个控制器节点的对等设置示例:
Controller 节点 A -→ Controller 节点 B
Controller 节点 A -→ Controller 节点 C
Controller 节点 B -→ Controller 节点 C
您可以通过设置强制监听程序
receptor_listener=True但是,连接 Controller B -→ A 可能会被拒绝,因为连接已存在。
这意味着没有连接到 Controller A,因为 Controller A 会创建与其他节点的连接,以下命令不会在 Controller A 上返回任何内容:
[root@controller1 ~]# ss -ntlp | grep 27199 [root@controller1 ~]#
| URL | 需要的目的 |
|---|---|
| 通用帐户服务、订阅 | |
| Insights 数据上传 | |
| 清单上传和云连接器连接 | |
| 访问 Insights 仪表板 |
| URL | 需要的目的 |
|---|---|
| 通用帐户服务、订阅 | |
| 索引执行环境 | |
| TCP | |
| https://automation-hub-prd.s3.amazonaws.com:443https://automation-hub-prd.s3.us-east-2.amazonaws.com:443 | 防火墙访问 |
| Ansible 社区策展的 Ansible 内容 | |
| https://ansible-galaxy-ng.s3.dualstack.us-east-1.amazonaws.com:443 | 为社区策展的 Ansible 内容存储库的双堆栈 IPv6 端点 |
| 访问由红帽和合作伙伴提供的容器镜像 | |
| 红帽和合作伙伴策展的 Ansible 集合 |
| URL | 需要的目的 |
|---|---|
| 访问由红帽和合作伙伴提供的容器镜像 | |
|
| 访问由红帽和合作伙伴提供的容器镜像 |
|
| 访问由红帽和合作伙伴提供的容器镜像 |
|
| 访问由红帽和合作伙伴提供的容器镜像 |
|
| 访问由红帽和合作伙伴提供的容器镜像 |
从 2025 年 4 月 1 日起, quay.io 正在添加三个额外的端点。因此,客户必须调整防火墙系统列表中的允许/块列表,使其包含以下端点:
-
cdn04.quay.io -
cdn05.quay.io -
cdn06.quay.io
为了避免拉取容器镜像出现问题,客户必须将出站 TCP 连接(端口 80 和 443)到以下主机名:
-
cdn.quay.io -
cdn01.quay.io -
cdn02.quay.io -
cdn03.quay.io -
cdn04.quay.io -
cdn05.quay.io -
cdn06.quay.io
此更改应针对用于启用到 registry.redhat.io 或 registry.access.redhat.com 的出站连接的任何防火墙配置进行修改。
在配置防火墙规则时使用主机名而不是 IP 地址。
完成此更改后,您可以继续从 registry.redhat.io 或 registry.access.redhat.com 拉取镜像。您不需要 quay.io 登录,或以任何方式直接与 quay.io registry 交互,以继续拉取红帽容器镜像。
如需更多信息,请参阅容器镜像防火墙更改 2024/2025。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}