红帽全球峰会1.6. 端口和防火墙要求
若要使卫星架构的组件进行通信,请确保在基础操作系统中打开并释放所需的网络端口。您还必须在任何基于网络的防火墙中打开所需的网络端口。
使用此信息配置任何基于网络的防火墙。请注意,有些云解决方案必须经过特别配置,以允许计算机间的通信,因为它们与基于网络的防火墙类似隔离计算机。如果您使用基于应用程序的防火墙,请确保基于应用程序的防火墙允许所有在表中列出并在防火墙中已知的应用程序。如果可能,禁用应用程序检查并允许基于协议打开的端口通信。
集成胶囊
卫星服务器具有一个集成的胶囊,并且任何直接连接到卫星服务器的主机都是本节上下文中卫星的客户端。这包括运行胶囊服务器的基础操作系统。
胶囊的客户端
主机(即卫星的集成胶囊以外的客户端)不需要访问卫星服务器。有关 Satellite 拓扑的更多信息,请参阅规划 Red Hat Satellite 6 中的 胶囊网络。
所需端口可能会根据您的配置而改变。
有关端口列表,请访问红帽知识库解决方案 Red Hat Satellite Networking List of Network Ports。
下表描述了目的地端口和网络流量的方向:
| 端口 | 协议 | Service | 必需 |
|---|---|---|---|
| 443 | TCP | HTTPS | 订阅管理服务(access.redhat.com),并连接到红帽 CDN(cdn.redhat.com)。 |
Satellite 服务器需要访问红帽 CDN。如需红帽 CDN(cdn.redhat.com)使用的 IP 地址列表,请参阅红帽客户门户网站中 红帽公共 CIDR 列表 文章。
| 端口 | 协议 | Service | 必需 |
|---|---|---|---|
| 443 | TCP | HTTPS | 基于浏览器的 UI 访问 Satellite |
| 80 | TCP | HTTP | 重定向至 HTTPS,以便 Web UI 访问 Satellite(可选) |
| 端口 | 协议 | Service | 必需 |
|---|---|---|---|
| 80 | TCP | HTTP | Anaconda、yum 用于获取 Katello 证书、模板以及下载 iPXE 固件 |
| 443 | TCP | HTTPS | 订阅管理服务、yum、Teleme Services 和连接到 Katello Agent |
| 5646 | TCP | AMQP | Capsule Qpid 将路由器分配到卫星中的 Qpid 分配路由器 |
| 5647 | TCP | AMQP | Katello Agent 与卫星的 Qpid 分配路由器通信 |
| 8000 | TCP | HTTP | Anaconda 以将 kickstart 模板下载到主机,以及下载 iPXE 固件 |
| 8140 | TCP | HTTPS | Puppet 代理连接到 Puppet master 连接 |
| 9090 | TCP | HTTPS | 将 SCAP 报告发送到集成胶囊,在调配期间进行发现镜像,以及与卫星服务器通信,以复制用于远程执行(Rex)配置的 SSH 密钥 |
| 7 | TCP 和 UDP | ICMP | 客户端上的外部 DHCP 到 Satellite 网络,验证 IP 地址是空闲的(可选) |
| 53 | TCP 和 UDP | DNS | 客户端 DNS 查询卫星的集成胶囊 DNS 服务(可选) |
| 67 | UDP | DHCP | 客户端到卫星的集成胶囊广播,从卫星的集成胶囊(可选)客户端调配的 DHCP 广播 |
| 69 | UDP | TFTP | 客户端从卫星的集成胶囊下载 PXE 引导镜像文件,以进行调配(可选) |
| 5000 | TCP | HTTPS | 与 Katello 连接,用于 Docker registry(可选) |
任何直接连接到卫星服务器的受管主机都是此上下文中的客户端,因为它是集成胶囊的客户端。这包括运行胶囊服务器的基础操作系统。
| 端口 | 协议 | Service | 需要的目的 |
|---|---|---|---|
| 443 | TCP | HTTPS | 在胶囊中连接到 Pulp 服务器 |
| 9090 | TCP | HTTPS | 连接到 Capsule 中的代理 |
| 80 | TCP | HTTP | 下载引导磁盘(可选) |
| 端口 | 协议 | Service | 必需 |
|---|---|---|---|
| 22 | TCP | SSH | 卫星和胶囊源自用于远程执行(Rex)和 Ansible 的通信。 |
| 443 | TCP | HTTPS | Satellite 源自于 vCenter 计算资源的通信。 |
| 5000 | TCP | HTTP | 卫星源自于 OpenStack 中的计算资源或用于运行容器的通信。 |
| 22, 16514 | TCP | SSH, SSL/TLS | Satellite 发起通信,用于 libvirt 中的计算资源。 |
| 389, 636 | TCP | LDAP, LDAPS | Satellite 发起了通信,对于 LDAP 和受保护的 LDAP 验证源。 |
| 5900 到 5930 | TCP | SSL/TLS | 卫星发起了通信,即 Web UI 中的 NoVNC 控制台到虚拟机监控程序。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}