2.3. 防火墙
2.3.1. Red Hat Virtualization Manager 对防火墙的要求
Red Hat Virtualization Manager 需要一些端口被打开,从而可以使用这些端口通过系统的防火墙。
engine-setup 脚本会自动配置防火墙,但这会覆盖以前存在的防火墙配置。
当一个防火墙配置已经存在时,您必须根据 Manager 的要求手动添加防火墙规则。
engine-setup 命令会在/usr/share/ovirt-engine/conf/iptables.example 文件中保存所需的防火墙规则列表。
这里所介绍的防火墙配置是根据一个默认的网络配置进行的。如果在安装时没有使用默认的 HTTP 和 HTTPS 端口,请修改防火墙规则中的相应值来使用这些非默认的端口(这里所列出的
80 和 443 是默认的端口)。
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| - | ICMP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Red Hat Virtualization Manager
| 当在 Red Hat Virtualization Manager 上进行注册时,虚拟主机会发送一个 ICMP ping 请求来确认 Manager 在线。 |
| 22 | TCP |
用来维护 Manager(包括后台配置和软件升级)的系统。
|
Red Hat Virtualization Manager
|
SSH 访问。
可选。
|
| 2222 | TCP |
客户访问虚拟机串口控制台。
|
Red Hat Virtualization Manager
|
启用提供 SSH 访问虚拟机串口控制台的功能。
|
| 80, 443 | TCP |
管理门户客户端
用户门户客户端
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
REST API 客户端
|
Red Hat Virtualization Manager
|
提供到 Manager 的 HTTP 和 HTTPS 访问。
|
| 6100 | TCP |
管理门户客户端
用户门户客户端
|
Red Hat Virtualization Manager
|
当 websocket 代理在 Manager 上运行时,这个端口为基于 web 的控制台客户端(
noVNC 和 spice-html5)提供 websocket 代理访问。如果 websocket 代理运行于另外一台主机上,这个端口将不能使用。
|
| 7410 | UDP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Red Hat Virtualization Manager
| 必须打开来使 Manager 可以接收 Kdump 通知。 |
重要
当您的环境需要 Red Hat Virtualization Manager 导出 NFS 存储(如 ISO 存储域),防火墙必须允许数据使用一些额外的端口。您需要根据以下信息为 NFS 配置防火墙:
NFSv4
- 允许 NFS 使用 TCP 端口
2049。
NFSv3
- 允许 NFS 使用 TCP 和 UDP 端口
2049。 - TCP 和 UDP 端口
111(rpcbind/sunrpc)。 - 使用
MOUNTD_PORT="port"指定的 TCP 和 UDP 端口 - 使用
STATD_PORT="port"指定的 TCP 和 UDP 端口 - 使用
LOCKD_TCPPORT="port"指定的 TCP 端口 - 使用
LOCKD_UDPPORT="port"指定的 UDP 端口
MOUNTD_PORT、STATD_PORT、LOCKD_TCPPORT 和 LOCKD_UDPPORT 在 /etc/sysconfig/nfs 文件中设置。
2.3.2. Hypervisor 的防火墙配置要求
Red Hat Enterprise Linux 主机和 Red Hat Virtualization Host(RHVH)需要一些端口被打开,从而可以使用这些端口通过系统的防火墙。对于 Red Hat Virtualization Host,这些防火墙规则会被自动配置,而对于 Red Hat Enterprise Linux 主机,需要对防火墙进行手动配置。
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| 22 | TCP |
Red Hat Virtualization Manager
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
SSH 访问。
可选。
|
| 2223 | TCP |
Red Hat Virtualization Manager
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
启用提供 SSH 访问虚拟机串口控制台的功能。
|
| 161 | UDP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Red Hat Virtualization Manager
|
SNMP。只在需要从主机发送 SNMP trap 到一个或多个外部 SNMP manager 时才需要。
可选。
|
| 5900 - 6923 | TCP |
管理门户客户端
用户门户客户端
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
使用 VNC 和 SPICE 的远程虚拟机控制台的访问。这些端口必须为客户端访问虚拟机而打开。
|
| 5989 | TCP, UDP |
CIMOM
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
CIMOM 使用它来监测在虚拟主机上运行的虚拟机。只有在需要使用 CIMOM 监控虚拟环境中的虚拟机时才需要它。
可选。
|
| 9090 | TCP |
Red Hat Virtualization Manager
客户端设备
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Cockpit 用户界面访问权限。
可选。
|
| 16514 | TCP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
使用
libvirt 进行虚拟机迁移。
|
| 49152 - 49216 | TCP |
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
虚拟机的迁移和隔离(fencing)使用 VDSM。自动或手动虚拟机迁移都需要这个端口被打开。
|
| 54321 | TCP |
Red Hat Virtualization Manager
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
Red Hat Virtualization Host
Red Hat Enterprise Linux 主机
|
VDSM 使用它与 Manager 和其它虚拟主机进行通讯。
|
2.3.3. 目录服务器的防火墙要求
Red Hat Virtualization 需要一个目录服务器来进行用户验证。Red Hat Virtualization Manager 使用 GSS-API 进行用户验证,因此目录服务器上的一些端口需要在防火墙中打开来支持它。
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| 88, 464 | TCP, UDP |
Red Hat Virtualization Manager
|
目录服务器
| Kerberos 验证。 |
| 389, 636 | TCP |
Red Hat Virtualization Manager
|
目录服务器
| LDAP 和 LDAP over SSL。 |
2.3.4. 数据库服务器的防火墙要求
Red Hat Virtualization 支持使用远程数据库服务器的功能。如果计划使用远程数据库服务器,则需要保证远程数据库服务器可以被 Red Hat Virtualization Manager 访问。
| 端口 | 协议 | 原始点 | 目标 | 目的 |
|---|---|---|---|---|
| 5432 | TCP, UDP |
Red Hat Virtualization Manager
|
PostgreSQL 数据库服务器
| PostgreSQL 数据库连接使用的默认端口。 |
如果准备把数据库安装在 Red Hat Enterprise Virtualization Manager 本身所在的系统上时(这是安装时的默认选项),就不需要配置额外的防火墙规则。
