База знаний
Войти

Требования к межсетевому экрану и используемым портам

Требования к межсетевому экрану для DNS и NTP

РОСА Виртуализация не создает DNS- или NTP-сервер, поэтому брандмауэру не нужно иметь открытые порты для входящего трафика.

По умолчанию РОСА Виртуализация разрешает исходящий трафик на DNS и NTP на любом адресе назначения. Если требуется отключить исходящий трафик, то нужно определить исключения для запросов, которые отправляются на DNS и NTP серверы.

Рекомендации и требования:

  • СУСВ и все хосты (хост РОСА Виртуализация) должны иметь полностью определенное доменное имя и полное, идеально выровненное прямое и обратное разрешение имен.
  • Запуск службы DNS как виртуальной машины в среде виртуализации РОСА Виртуализация не поддерживается. Все службы DNS, используемые средой виртуализации РОСА Виртуализация, должны размещаться вне среды.
  • Вместо файла /etc/hosts рекомендуется использовать DNS для разрешения имен. Использование файла hosts обычно требует больше работы и имеет большую вероятность ошибок.

Требования к межсетевому экрану СУСВ

СУСВ требует открытия ряда портов для пропуска сетевого трафика через межсетевой экран системы. СУСВ требует открытия ряда портов для пропуска сетевого трафика через межсетевой экран системы. Скрипт настройки движка может автоматически настраивать межсетевой экран.

Скрипт настройки движка может автоматически настраивать межсетевой экран.

Описанная в таблице 1 конфигурация межсетевого экрана предполагает конфигурацию по умолчанию.

Таблица 1 – Требования к межсетевому экрану СУСВ

Примечание – Порт для базы данных OVN Northbound (6641) не указан, т. к. в конфигурации по умолчанию единственным клиентом для базы данных OVN Northbound (6641) является ovirt-provider-ovn. Поскольку они оба работают на одном хосте, их связь не видна сети.

По умолчанию ROSA Linux разрешает исходящий трафик на DNS и NTP на любом адресе назначения. Если отключить исходящий трафик, нужно сделать исключения для СУСВ, чтобы он отправлял запросы на DNS- и NTP-серверы. Другие узлы также могут требовать DNS и NTP. В этом случае следует ознакомиться с требованиями для этих узлов и настроить межсетевой экран соответствующим образом.

Требования к межсетевому экрану хоста виртуализации

Хосты ROSA Linux и хосты виртуализации требуют открытия ряда портов для пропуска сетевого трафика через системный межсетевой экран. Правила межсетевого экрана автоматически настраиваются по умолчанию при добавлении нового хоста в СУСВ, перезаписывая любую существующую конфигурацию межсетевого экрана (таблица 2).

Чтобы отключить автоматическую настройку межсетевого экрана при добавлении нового хоста, нужно снять флажок "Автоматически настраивать брандмауэр" хоста в разделе "Дополнительные параметры".

Таблица 2 – Требования к межсетевому экрану хоста виртуализации

По умолчанию ROSA Linux разрешает исходящий трафик на DNS и NTP на любом адресе назначения. Если отключить исходящий трафик, нужно сделать исключения для хостов виртуализации.

Хосты ROSA Linux отправляют запросы на DNS- и NTP-серверы. Другие узлы также могут требовать DNS и NTP. В этом случае следует ознакомиться с требованиями для этих узлов и настроить межсетевой экран соответствующим образом.

Требования к межсетевому экрану сервера базы данных

РОСА Виртуализация поддерживает использование удаленного сервера базы данных для базы данных СУСВ (engine) и базы данных Data Warehouse (ovirt-engine-history). Если планируется использование удаленного сервера базы данных, он должен разрешать соединения из СУСВ и службы Data Warehouse (которая может быть отдельной от СУСВ).

Аналогично, если планируется получение доступа к локальной или удаленной базе данных хранилища данных из внешней системы, база данных должна разрешать подключения из этой системы.

Доступ к базе данных СУСВ из внешних систем не поддерживается.

Описанная в таблице 3 конфигурация межсетевого экрана предполагает конфигурацию по умолчанию.

Таблица 3 – Требования к межсетевому экрану сервера базы данных