방화벽 및 디폴트 포트

제한적인 방화벽이 적용된 곳과 같은 몇몇 배포에서는 방화벽을 수동으로 구성하여 OpenStack 서비스 트래픽을 허용하도록 할 필요가 있습니다.

방화벽을 수동으로 구성하기 위해서는, 각 OpenStack 서비스가 사용하는 포트를 통과하는 트래픽을 허용해야 합니다. 다음 테이블은 각 OpenStack 서비스가 사용하는 디폴트 포트 목록을 보여줍니다:

OpenStack 구성요소가 사용하는 디폴트 포트

OpenStack 서비스

디폴트 포트

응용프로그램 카탈로그 (murano)

8082

Backup Service (Freezer)

9090

Bare Metal provisioning service (Ironic)

6385

빅 데이터 처리 프레임워크 (sahara)

8386

블록 스토리지 (cinder)

8776

클러스터링 (senlin)

8777

Compute (nova) 엔드포인트

8774

가상 머신 콘솔 액세스를 위한 Compute 포트

5900-5999

Compute VNC proxy for browsers (openstack-nova-novncproxy)

6080

전통적인 VNC 클라이언트를 위한 Compute VNC 프록시 (openstack-nova-xvpvncproxy)

6081

컨테이너 인프라 관리 (Magnum)

9511

컨테이터 서비스 (Zun)

9517

데이터 프로세싱 서비스 (sahara) 엔드포인트

8386

데이터베이스 서비스 (Trove)

8779

DNS 서비스 (Designate)

9001

고 가용성 서비스 (Masakari)

15868

Identity service (keystone) endpoint

5000

이미지 서비스 (glance) API

9292

키 관리 서비스 (Barbican)

9311

로드밸런서 서비스 (Octavia)

9876

네트워킹 (neutron)

9696

NFV 조정 서비스 (tacker)

9890

오브젝트 스토리지 (swift)

6000, 6001, 6002

오케스트레이션 (heat) 엔드포인트

8004

오케스트레이션 AWS CloudFormation 호환 API (openstack-heat-api-cfn)

8000

오케스트레이션 AWS CloudWatch 호환 API (openstack-heat-api-cloudwatch)

8778

Placement API (placement)

8003

Compute 서비스에서 사용되는 HTML5 콘솔을 위한 프록시 포트

6082

Rating service (Cloudkitty)

8889

등록 서비스 (Adjutant)

5050

자원 예약 서비스 (Blazar)

1234

Root Cause 분석 서비스 (Vitrage)

8999

공유 파일 시스템 서비스 (Manila)

8786

Telemetry alarming service (Aodh)

8042

원격측정 이벤트 서비스 (Panko)

8977

워크플로우 서비스 (Mistral)

8989

올바르게 동작하기 위해, 몇몇 OpenStack 구성요소들은 다른 비 OpenStack 서비스에 의존합니다. 예를 들면, OpenStack 대시보드는 안전하지 않은 통신에 해당하는 HTTP를 사용합니다. 이 경우, 방화벽을 구성하여 HTTP 트래픽을 허용하도록 해야 합니다.

다음 테이블은 다른 OpenStack 구성요소들이 사용하는 포트 목록을 나열합니다:

OpenStack 구성요소가 사용하는 것과 관련된 보조 서비스에 대한 디폴트 포트

서비스

기본 포트

사용됨

HTTP

80

보안 액세스를 사용하지 않도록 구성 하였을 때 OpenStack dashboard (Horizon)

HTTP 대안

8080

OpenStack 오브젝트 스토리지 (swift) 서비스.

HTTPS

443

SSL이 활성화된 OpenStack 서비스로, 보안 액세스에 해당하는 대시보드.

rsync

873

OpenStack 오브젝트 스토리지, 필수.

iSCSI 대상

3260

OpenStack Block Storage. Required when using LVM with iSCSI target (tgt, LIO, iSER)

NVMe-oF target

4420

OpenStack Block Storage. Required when using LVM with NVMe-oF target (nvmet).

MySQL 데이터베이스 서비스

3306

대부분 OpenStack 구성요소

메시지 브로커 (AQMP 트래픽)

5672

OpenStack 블록 스토리지, 네트워킹, 오케스트레이션 및 Compute

몇몇 배포판에서, 임의의 서비스에서 사용하는 디폴트 포트는 호스으 내에서 정의된 디폴트 포트 영역 내에 속하지 않을 수 있습니다. 호스트 내 로컬 포트 영역을 확인하려면 다음을 실행합니다:

$ sysctl net.ipv4.ip_local_port_range

서비스 디폴트 포트가 해당 영역 내에 있을 경우, 다음 프로그램을 실행하여 해당 포트가 다른 응용프로그램에 이미 할당이 되었는지를 확인합니다:

$ lsof -i :PORT

해당 디폴트 포트가 이미 다른 응용프로그램에서 사용하고 있는 경우 다른 포트를 사용하도록 서비스를 구성합니다.