1.5. 端口和防火墙要求
若要让卫星架构的组件进行通信,请确保在基础操作系统上打开和释放所需的网络端口。您还必须确保在任何基于网络的防火墙上打开所需的网络端口。
如果在安装开始前,如果卫星服务器和胶囊服务器之间的端口没有打开,则胶囊服务器的安装会失败。
使用这些信息配置任何基于网络的防火墙。请注意,某些云解决方案必须经过特别配置,以允许计算机之间的通信,因为它们隔离计算机与基于网络的防火墙类似。如果您使用基于应用程序的防火墙,请确保基于应用程序的防火墙允许表中列出的所有应用程序以及防火墙已知。如果可能,禁用应用程序检查并允许根据协议打开的端口通信。
集成胶囊
卫星服务器具有集成胶囊,并且直接连接到卫星服务器的任何主机都是本节末尾的卫星客户端。这包括运行胶囊服务器的基本操作系统。
Capsule 客户端
作为胶囊的客户端,卫星集成胶囊以外的主机不需要访问卫星服务器。有关卫星拓扑和移植端口连接的的更多信息,请参阅 规划红帽卫星 6 的胶囊 联网。
所需端口可以根据您的配置进行更改。
下表指定目标端口和网络流量的方向:
| 目标端口 | 协议 | Service | 源 | 必需用于 | Description |
|---|---|---|---|---|---|
| 53 | TCP 和 UDP | DNS | DNS 服务器和客户端 | 名称解析 | DNS (可选) |
| 67 | UDP | DHCP | 客户端 | 动态 IP | DHCP (可选) |
| 69 | UDP | TFTP | 客户端 | TFTP 服务器(可选) | |
| 443, 80 | TCP | HTTPS、HTTP | 客户端 | 内容接收 | 内容 |
| 443, 80 | TCP | HTTPS、HTTP | 客户端 | 内容主机注册 | Capsule CA RPM 安装 |
| 443 | TCP | HTTPS | Red Hat Satellite | 内容镜像 | 管理 |
| 443 | TCP | HTTPS | Red Hat Satellite | Capsule API | 智能代理功能 |
| 5647 | TCP | AMQP | 客户端 | goferd 消息总线 | 将消息转发到客户端(可选) Katello 代理用于与 Qpid 分配程序通信 |
| 8000 | TCP | HTTP | 客户端 | 调配模板 | 客户端安装程序、iPXE 或 UEFI HTTP 引导的模板检索 |
| 8000 | TCP | HTTP | 客户端 | PXE 引导 | 安装 |
| 8140 | TCP | HTTPS | 客户端 | Puppet 代理 | 客户端更新(可选) |
| 8443 | TCP | HTTPS | 客户端 | 内容主机注册 | 开始 上传事实 发送安装的软件包和追踪 |
| 9090 | TCP | HTTPS | 客户端 | OpenSCAP | 配置客户端 |
| 9090 | TCP | HTTPS | 发现的节点 | Discovery(发现) | 主机发现和置备 |
| 9090 | TCP | HTTPS | Red Hat Satellite | Capsule API | 胶囊功能 |
任何直接连接到卫星服务器的受管主机都是此上下文中的客户端,因为它是集成胶囊的客户端。这包括运行胶囊服务器的基本操作系统。
DHCP 胶囊将向子网中设置 DHCP IPAM 的子网执行 ICMP ping 和 TCP 回显连接,以找出是否考虑使用 IP 地址。可以使用 satellite-installer --foreman-proxy-dhcp-ping-free-ip=false 关闭此行为。
| 目标端口 | 协议 | Service | 目的地 | 必需用于 | Description |
|---|---|---|---|---|---|
| ICMP | ping | 客户端 | DHCP | 免费 IP 检查(可选) | |
| 7 | TCP | echo | 客户端 | DHCP | 免费 IP 检查(可选) |
| 22 | TCP | SSH | 目标主机 | 远程执行 | 运行任务 |
| 53 | TCP 和 UDP | DNS | 互联网上的 DNS 服务器 | DNS 服务器 | 解析 DNS 记录(可选) |
| 53 | TCP 和 UDP | DNS | DNS 服务器 | Capsule DNS | DNS 冲突验证(可选) |
| 68 | UDP | DHCP | 客户端 | 动态 IP | DHCP (可选) |
| 443 | TCP | HTTPS | Satellite | Capsule | Capsule 配置管理 模板检索 OpenSCAP 远程执行结果上传 |
| 443 | TCP | HTTPS | Red Hat Portal | SOS 报告 | 协助支持问题单(可选) |
| 443 | TCP | HTTPS | Satellite | 内容 | 同步 |
| 443 | TCP | HTTPS | Satellite | 客户端通信 | 将来自客户端的请求转发到 Satellite |
| 443 | TCP | HTTPS | Infoblox DHCP Server | DHCP 管理 | 使用 Infoblox 进行 DHCP 时,管理 DHCP 租期(可选) |
| 623 | 客户端 | 电源管理 | BMC On/Off/Cycle/Status | ||
| 5646 | TCP | AMQP | Satellite Server | Katello 代理 | 将消息转发到 Qpid 分配胶囊上的路由器(可选) |
| 7911 | TCP | DHCP, OMAPI | DHCP Server | DHCP |
DHCP 目标使用
ISC 和 |
| 8443 | TCP | HTTPS | 客户端 | Discovery(发现) | Capsule 将 reboot 命令发送到发现的主机(可选) |
不得拒绝 ICMP 到端口 7 UDP 和 TCP,但可以丢弃.DHCP Capsule 将 ECHO REQUEST 发送到客户端网络,以验证 IP 地址是否可用。任何响应都将阻止分配 IP 地址。
