Pare-feux et ports par défaut

Sur certains déploiements tels que ceux où des pare-feux restrictifs sont en place, vous aurez peut-être besoin de configurer manuellement un pare-feu pour permettre le trafic du service OpenStack.

Pour configurer manuellement un pare-feu, vous devez autoriser le trafic à travers les ports utilisés par chaque service d’OpenStack. Cette table liste les ports par défaut utilisés par chaque service d’OpenStack:

Ports par défaut utilisés par les composants d’OpenStack

Service OpenStack

Ports par défaut

Catalogue d’applications (murano)

8082

Backup Service (Freezer)

9090

Big Data Processing Framework (sahara)

8386

Stockage par bloc (cinder)

8776

Clustering (senlin)

8777

Points d’accès de Compute (nova)

8774

Ports Compute pour l’accès aux consoles des machines virtuelles

5900-5999

Compute VNC proxy for browsers (openstack-nova-novncproxy)

6080

Compute VNC proxy for traditional VNC clients (openstack-nova-xvpvncproxy)

6081

Container Infrastructure Management (Magnum)

9511

Container Service (Zun)

9517

Point d’accès du service de traitement des données (sahara)

8386

Database service (Trove)

8779

DNS service (Designate)

9001

High Availability Service (Masakari)

15868

Identity service (keystone) endpoint

5000

API du Service d’image (glance)

9292

Key Manager service (Barbican)

9311

Loadbalancer service (Octavia)

9876

Gestion de réseaux (neutron)

9696

NFV Orchestration service (tacker)

9890

Stockage d’objet (swift)

6000, 6001, 6002

Point d’accès de l’orchestration (heat)

8004

Orchestration AWS CloudFormation-compatible API (openstack-heat-api-cfn)

8000

Orchestration AWS CloudWatch-compatible API (openstack-heat-api-cloudwatch)

8778

Placement API (placement)

8003

Port du proxy pour la console HTML5 utilisé par le service Compute

6082

Rating service (Cloudkitty)

8889

Registration service (Adjutant)

5050

Resource Reservation service (Blazar)

1234

Root Cause Analysis service (Vitrage)

8999

Shared File Systems service (Manila)

8786

Telemetry alarming service (Aodh)

8042

Telemetry event service (Panko)

8977

Workflow service (Mistral)

8989

To function properly, some OpenStack components depend on other, non-OpenStack services. For example, the OpenStack dashboard uses HTTP for non-secure communication. In this case, you must configure the firewall to allow traffic to and from HTTP.

Cette table liste les ports utilisés par les autres composants OpenStack

Default ports that secondary services related to OpenStack components use

Service

Default port

Used by

HTTP

80

OpenStack dashboard (Horizon) when it is not configured to use secure access.

HTTP alternate

8080

OpenStack Object Storage (swift) service.

HTTPS

443

Any OpenStack service that is enabled for SSL, especially secure-access dashboard.

rsync

873

OpenStack Object Storage. Required.

Cible iSCSI

3260

OpenStack Block Storage. Required when using LVM with iSCSI target (tgt, LIO, iSER)

NVMe-oF target

4420

OpenStack Block Storage. Required when using LVM with NVMe-oF target (nvmet).

Service de base de données MySQL

3306

La plupart des composants OpenStack.

Message Broker (AMQP traffic)

5672

Service OpenStack de Stockage par Blocs, Réseau, Orchestration, et Compute.

On some deployments, the default port used by a service may fall within the defined local port range of a host. To check a host’s local port range:

$ sysctl net.ipv4.ip_local_port_range

If a service’s default port falls within this range, run the following program to check if the port has already been assigned to another application:

$ lsof -i :PORT

Configurer le service pour utiliser un autre port si le port par défaut est déjà utilisé par une autre application.