1.3. 配置 iptables 防火墙以允许集群组件
注意
集群组件的理想防火墙配置取决于本地环境,您可能需要考虑节点是否有多个网络接口或主机外防火墙是否存在。在此示例中打开 Pacemaker 集群通常所需的端口,您需要根据具体情况进行修改。
表 1.1 “为高可用性附加组件启用的端口” 显示要为红帽高可用性附加组件启用的端口,并解释该端口的用途。您可以通过执行下列命令,通过利用 firewalld 守护进程启用所有这些端口:
#firewall-cmd --permanent --add-service=high-availability#firewall-cmd --add-service=high-availability
| 端口 | 什么时候需要 |
|---|---|
|
TCP 2224
|
所有节点上都需要(pcsd Web UI 需要且节点到节点的通信需要)
打开端口 2224 非常重要,从而使来自任何节点的 pcs 可以与群集中的所有节点(包括自身)进行通信。当使用 Booth 集群票据管理程序或一个 quorum 设备时,您必须在所有相关主机上打开端口 2224,比如 Booth abiter 或者 quorum 设备主机。
|
|
TCP 3121
|
如果集群有 Pacemaker 远程节点,则所有节点都需要这个端口
完整集群节点上的 Pacemaker 的
crmd 守护进程将在端口 3121 联系 Pacemaker 远程节点上的 pacemaker_remoted 守护进程。如果使用一个单独的接口用于集群通信,则该端口只需要在那个接口上打开。至少应该在 Pacemaker 远程节点上完整集群节点打开这个端口。由于用户可以在完整节点和远程节点之间转换主机,或使用主机的网络在容器内运行远程节点,因此打开所有节点的端口会很有用。不需要向节点以外的任何主机打开端口。
|
|
TCP 5403
|
当使用带有
corosync-qnetd 的仲裁设备时,quorum 设备主机上需要此项。可以使用 corosync-qnetd 命令的 -p 选项更改默认值。
|
|
UDP 5404
|
如果为多播 UDP 配置
corosync,则 corosync 节点需要
|
|
UDP 5405
|
所有 corosync 节点上都需要(corosync 需要
)
|
|
TCP 21064
|
如果群集包含任何需要 DLM 的资源(如
clvm 或 GFS2),则在所有节点上都需要这个端口。
|
|
TCP 9929, UDP 9929
|
需要在所有集群节点上打开,并在使用 Booth ticket 管理器建立多站点集群时引导节点从这些相同节点进行连接。
|
