第 5 章 网络端口和协议
Red Hat Ansible Automation Platform 使用多个端口与其服务进行通信。这些端口必须处于打开状态,并可用于到 Red Hat Ansible Automation Platform 服务器的传入连接,以便它正常工作。确保这些端口可用,且服务器防火墙没有阻断这些端口。
以下架构图是完全部署的 Ansible Automation Platform 的示例,其中包含所有可能的组件。
图 5.1. Ansible Automation Platform 网络端口和协议
下表指明了目的地端口和网络流量的方向:
以下列出的默认目标端口和安装程序清单可以配置。如果您选择将它们配置为适合您的环境,则可能会遇到行为的变化。
端口 | 协议 | Service | Source | 目的地 | 需要的目的 | 安装程序清单变量 |
---|---|---|---|---|---|---|
22 | TCP | SSH | 安装程序节点 | Automation hub | 安装(临时) |
|
22 | TCP | SSH | 安装程序节点 | 控制器节点 | 安装(临时) |
|
22 | TCP | SSH | 安装程序节点 | EDA 节点 | 安装(临时) |
|
22 | TCP | SSH | 安装程序节点 | 执行节点 | 安装(临时) |
|
22 | TCP | SSH | 安装程序节点 | hop 节点 | 安装(临时) |
|
22 | TCP | SSH | 安装程序节点 | 混合节点 | 安装(临时) |
|
22 | TCP | SSH | 安装程序节点 | PostgreSQL 数据库 | 在安装过程中远程访问(临时) |
|
80/443 | TCP | HTTP/HTTPS | 安装程序节点 | Automation hub | 在使用捆绑包安装程序时,允许安装程序节点将执行环境镜像推送到自动化中心。 | 固定的值 |
80/443 | TCP | HTTP/HTTPS | 执行节点 | Automation hub | 允许执行节点从自动化中心拉取执行环境镜像。 | 固定的值 |
443 | TCP | HTTPS | 控制器节点 | 客户端 | Web UI/API |
|
443 | TCP | HTTPS | 控制器节点 | OpenShift Container Platform | 仅在使用容器组运行作业时才需要。 | OpenShift API 服务器的主机名 |
5432 | TCP | PostgreSQL | 控制器节点 | PostgreSQL 数据库 | 仅在将内部数据库与另一个组件一起使用时才打开。否则,不应打开此端口。 |
|
5432 | TCP | PostgreSQL | EDA 节点 | PostgreSQL 数据库 | 仅在将内部数据库与另一个组件一起使用时才打开。否则,不应打开此端口。 |
|
5432 | TCP | PostgreSQL | Automation hub | PostgreSQL 数据库 | 仅在将内部数据库与另一个组件一起使用时才打开。否则,不应打开此端口。 |
|
27199 | TCP | Receptor | 控制器节点 | 执行节点 | 可配置 与控制器直接对等的 Mesh 节点。 涉及的直接节点。27199 通信可以是同时用于执行节点的方法(取决于安装清单) |
|
27199 | TCP | Receptor | 控制器节点 | hop 节点 | 可配置 如果通过跃点节点转发,从跃点节点到 Receptor 端口的ENABLE 连接。 |
|
27199 | TCP | Receptor | 控制器节点 | 混合节点 | 可配置 如果通过非连接的节点转发,从控制器到 Receptor 端口的ENABLE 连接。 |
|
27199 | TCP | Receptor | 执行节点 | hop 节点 | 可配置 Mesh 27199 通信可以是这两个方法(取决于安装清单)用于执行节点 从控制器到 receptor 端口的 ALLOW 连接 |
|
27199 | TCP | Receptor | 执行节点 | 控制器节点 | 可配置 Mesh 27199 通信可以是这两个方法(取决于安装清单)用于执行节点 从控制器到 receptor 端口的 ALLOW 连接 |
|
- 混合节点充当控制和执行节点的组合,因此混合节点共享这两者的连接。
-
如果定义了
receptor_listener_port
,机器还需要一个可用的开放端口来建立入站 TCP 连接,例如 27199。
URL | 需要的目的 |
---|---|
通用帐户服务、订阅 | |
Insights 数据上传 | |
清单上传和云连接器连接 | |
访问 Insights 仪表板 |
URL | 需要的目的 |
---|---|
通用帐户服务、订阅 | |
索引执行环境 | |
TCP | |
https://automation-hub-prd.s3.amazonaws.com:443https://automation-hub-prd.s3.us-east-2.amazonaws.com:443 | 防火墙访问 |
Ansible 社区策展的 Ansible 内容 | |
https://ansible-galaxy-ng.s3.dualstack.us-east-1.amazonaws.com:443 | 为社区策展的 Ansible 内容存储库的双堆栈 IPv6 端点 |
访问由红帽和合作伙伴提供的容器镜像 | |
红帽和合作伙伴策展的 Ansible 集合 |
URL | 需要的目的 |
---|---|
访问由红帽和合作伙伴提供的容器镜像 | |
| 访问由红帽和合作伙伴提供的容器镜像 |
| 访问由红帽和合作伙伴提供的容器镜像 |
| 访问由红帽和合作伙伴提供的容器镜像 |
| 访问由红帽和合作伙伴提供的容器镜像 |
镜像清单和文件系统 Blob 直接从 registry.redhat.io
提供。但是,从 2023 年 5 月 1 日开始,文件系统 Blob 是从 quay.io
提供的。为了避免拉取容器镜像出现问题,您必须启用到列出的 quay.io
主机名的出站连接。
此更改应该对专门用于启用到 registry.redhat.io
的出站连接的任何防火墙配置进行。
在配置防火墙规则时使用主机名而不是 IP 地址。
完成此更改后,您可以继续从 registry.redhat.io
拉取镜像。您不需要 quay.io
登录,或以任何方式直接与 quay.io
registry 交互,以继续拉取红帽容器镜像。
如需更多信息,请参阅容器镜像拉取的防火墙更改。