База знаний
Войти

Требования к межсетевому экрану и используемым портам

Требования к межсетевому экрану для DNS, NTP

ROSA Virtualization не создает DNS- или NTP-сервер, поэтому брандмауэру не нужно иметь открытые порты для входящего трафика.

По умолчанию ROSA Virtualization разрешает исходящий трафик на DNS и NTP на любом адресе назначения. Если вы отключите исходящий трафик, определите исключения для запросов, которые отправляются на DNS и NTP серверы.

Рекомендации и требования:

  • СУСВ и все хосты (хост ROSA Virtualization) должны иметь полностью определенное доменное имя и полное, идеально выровненное прямое и обратное разрешение имен.
  • Запуск службы DNS как виртуальной машины в среде виртуализации ROSA Virtualization не поддерживается. Все службы DNS, используемые средой виртуализации ROSA Virtualization, должны размещаться вне среды.
  • Используйте DNS вместо файла /etc/hosts для разрешения имен. Использование файла hosts обычно требует больше работы и имеет большую вероятность ошибок.

Требования к межсетевому экрану СУСВ

СУСВ требует открытия ряда портов для пропуска сетевого трафика через межсетевой экран системы.

Скрипт настройки движка может автоматически настраивать межсетевой экран.

Описанная в таблице 1 конфигурация межсетевого экрана предполагает конфигурацию по умолчанию.

Примечание – Порт для базы данных OVN Northbound (6641) не указан, поскольку в конфигурации по умолчанию единственным клиентом для базы данных OVN Northbound (6641) является ovirt-provider-ovn. Поскольку они оба работают на одном хосте, их связь не видна сети.

По умолчанию ROSA Linux разрешает исходящий трафик на DNS и NTP на любом адресе назначения. Если вы отключите исходящий трафик, сделайте исключения для СУСВ, чтобы он отправлял запросы на DNS- и NTP-серверы. Другие узлы также могут требовать DNS и NTP. В этом случае ознакомьтесь с требованиями для этих узлов и настройте межсетевой экран соответствующим образом.

Требования к межсетевому экрану хоста виртуализации

Хосты ROSA Linux и хосты виртуализации требуют открытия ряда портов для пропуска сетевого трафика через системный межсетевой экран. Правила межсетевого экрана автоматически настраиваются по умолчанию при добавлении нового хоста в СУСВ, перезаписывая любую существующую конфигурацию межсетевого экрана.

Чтобы отключить автоматическую настройку межсетевого экрана при добавлении нового хоста, снимите флажок "Автоматически настраивать брандмауэр" хоста в разделе "Дополнительные параметры".

По умолчанию ROSA Linux разрешает исходящий трафик на DNS и NTP на любом адресе назначения. Если вы отключите исходящий трафик, сделайте исключения для хостов виртуализации.

Хосты ROSA Linux отправляют запросы на DNS- и NTP-серверы. Другие узлы также могут требовать DNS и NTP. В этом случае ознакомьтесь с требованиями для этих узлов и настройте межсетевой экран соответствующим образом.

Требования к межсетевому экрану сервера базы данных

ROSA Virtualization поддерживает использование удаленного сервера базы данных для базы данных СУСВ (engine) и базы данных Data Warehouse (ovirt-engine-history). Если вы планируете использовать удаленный сервер базы данных, он должен разрешать соединения из СУСВ и службы Data Warehouse (которая может быть отдельной от СУСВ).

Аналогично, если вы планируете получить доступ к локальной или удаленной базе данных хранилища данных из внешней системы, база данных должна разрешать подключения из этой системы.

Доступ к базе данных СУСВ из внешних систем не поддерживается.