방화벽 및 디폴트 포트

제한적인 방화벽이 적용된 곳과 같은 몇몇 배포에서는 방화벽을 수동으로 구성하여 OpenStack 서비스 트래픽을 허용하도록 할 필요가 있습니다.

방화벽을 수동으로 구성하기 위해서는, 각 OpenStack 서비스가 사용하는 포트를 통과하는 트래픽을 허용해야 합니다. 다음 테이블은 각 OpenStack 서비스가 사용하는 디폴트 포트 목록을 보여줍니다:

OpenStack 구성요소가 사용하는 디폴트 포트

OpenStack 서비스

디폴트 포트

포트 유형

응용프로그램 카탈로그 (murano)

8082

블록 스토리지 (cinder)

8776

publicurl 및 adminurl

클러스터링 (senlin)

8778

publicurl 및 adminurl

Compute (nova) 엔드포인트

8774

publicurl 및 adminurl

Compute API (nova-api)

8773, 8775

가상 머신 콘솔 액세스를 위한 Compute 포트

5900-5999

브라우저를 위한 Compute VNC 프록시 ( openstack-nova-novncproxy)

6080

전통적인 VNC 클라이언트를 위한 Compute VNC 프록시 (openstack-nova-xvpvncproxy)

6081

Compute 서비스에서 사용되는 HTML5 콘솔을 위한 프록시 포트

6082

데이터 프로세싱 서비스 (sahara) 엔드포인트

8386

publicurl 및 adminurl

Identity 서비스 (keystone) 관리 엔드포인트

5000

adminurl

Identity 서비스 공용 엔드포인트

5000

publicurl

이미지 서비스 (glance) API

9292

publicurl 및 adminurl

이미지 서비스 레지스트리

9191

네트워킹 (neutron)

9696

publicurl 및 adminurl

오브젝트 스토리지 (swift)

6000, 6001, 6002

오케스트레이션 (heat) 엔드포인트

8004

publicurl 및 adminurl

오케스트레이션 AWS CloudFormation 호환 API (openstack-heat-api-cfn)

8000

오케스트레이션 AWS CloudWatch 호환 API (openstack-heat-api-cloudwatch)

8003

Root Cause 분석 서비스 (Vitrage)

8999

Telemetry (ceilometer)

8777

publicurl 및 adminurl

워크플로우 서비스 (Mistral)

8989

올바르게 동작하기 위해, 몇몇 OpenStack 구성요소들은 다른 비 OpenStack 서비스에 의존합니다. 예를 들면, OpenStack 대시보드는 안전하지 않은 통신에 해당하는 HTTP를 사용합니다. 이 경우, 방화벽을 구성하여 HTTP 트래픽을 허용하도록 해야 합니다.

다음 테이블은 다른 OpenStack 구성요소들이 사용하는 포트 목록을 나열합니다:

OpenStack 구성요소가 사용하는 것과 관련된 보조 서비스에 대한 디폴트 포트

서비스

기본 포트

사용됨

HTTP

80

보안 액세스를 사용하지 않도록 구성 하였을 때 OpenStack dashboard (Horizon)

HTTP 대안

8080

OpenStack 오브젝트 스토리지 (swift) 서비스.

HTTPS

443

SSL이 활성화된 OpenStack 서비스로, 보안 액세스에 해당하는 대시보드.

rsync

873

OpenStack 오브젝트 스토리지, 필수.

iSCSI 대상

3260

OpenStack 블록 스토리지, 필수

MySQL 데이터베이스 서비스

3306

대부분 OpenStack 구성요소

메시지 브로커 (AQMP 트래픽)

5672

OpenStack 블록 스토리지, 네트워킹, 오케스트레이션 및 Compute

몇몇 배포판에서, 임의의 서비스에서 사용하는 디폴트 포트는 호스으 내에서 정의된 디폴트 포트 영역 내에 속하지 않을 수 있습니다. 호스트 내 로컬 포트 영역을 확인하려면 다음을 실행합니다:

$ sysctl net.ipv4.ip_local_port_range

서비스 디폴트 포트가 해당 영역 내에 있을 경우, 다음 프로그램을 실행하여 해당 포트가 다른 응용프로그램에 이미 할당이 되었는지를 확인합니다:

$ lsof -i :PORT

해당 디폴트 포트가 이미 다른 응용프로그램에서 사용하고 있는 경우 다른 포트를 사용하도록 서비스를 구성합니다.