Documentation survey

ネットワーク要件

このセクションでは、SUSE Multi-Linux Managerのネットワークとポートの要件について詳しく説明します。

IP転送は、コンテナ化されたインストールによって有効になります。つまり、SUSE Multi-Linux Managerサーバとプロキシはルータとして動作します。この動作はpodmanによって直接実行されます。IP転送が無効になっている場合、Podmanコンテナは実行されません。

ポリシーに従って、SUSE Multi-Linux Manager環境のネットワーク分離を実現することを検討してください。

詳細については、https://www.suse.com/support/kb/doc/?id=000020166を参照してください。

1. 完全修飾ドメイン名(FQDN)

SUSE Multi-Linux Managerサーバは、そのFQDNを正しく解決する必要があります。FQDNを解決できない場合、多数のコンポーネントで重大な問題の原因になる場合があります。

ホスト名とDNSの設定の詳細については、https://documentation.suse.com/sles/15-SP6/html/SLES-all/cha-network.html#sec-network-yast-change-hostを参照してください。

2. ホスト名とIPアドレス

SUSE Multi-Linux Managerのドメイン名をそのクライアントで解決できることを確認するには、サーバとクライアントの両方のマシンを動作中のDNSサーバに接続する必要があります。リバース参照が正しく設定されていることも確認する必要があります。

DNSサーバの設定の詳細については、https://documentation.suse.com/sles/15-SP6/html/SLES-all/cha-dns.htmlを参照してください。

3. ルータ広告の再有効化

SUSE Multi-Linux Managerをmgradm install podmanまたはmgrpxy install podmanを使用してインストールすると、IPv4とIPv6の転送を有効にするPodmanが設定されます。 これは、コンテナの外側から通信を行うために必要です。

ただし、システムで以前に/proc/sys/net/ipv6/conf/eth0/accept_ra1に設定していた場合、ルータ広告の使用が停止されます。 その結果、ルートがルータ広告経由で取得されなくなり、デフォルトのIPv6ルートが消失します。

IPv6ルーティングの正常な機能を回復するには、次のプロシージャに従います。

プロシージャ: ルータ広告の再有効化
  1. /etc/sysctl.dにファイルを作成します。例: 99-ipv6-ras.conf

  2. 次のパラメータと値をファイルに追加します。

    net.ipv6.conf.eth0.accept_ra = 2
  3. 再起動します。

4. HTTPまたはHTTPSのOSIレベル7プロキシの背後での配備

一部の環境では、HTTPまたはHTTPSプロキシを介したインターネットアクセスが強制されています。 これはSquidサーバなどのサーバが対象となります。 このような設定でSUSE Multi-Linux Managerサーバのインターネットアクセスを許可するには、次のように設定する必要があります。

プロシージャ: HTTPまたはHTTPS OSIレベル7プロキシの設定
  1. オペレーティングシステムのインターネットアクセスの場合は、必要に応じて/etc/sysconfig/proxyを変更します。

    PROXY_ENABLED="no"
    HTTP_PROXY=""
    HTTPS_PROXY=""
    NO_PROXY="localhost, 127.0.0.1"
  2. Podmanコンテナのインターネットアクセスの場合は、必要に応じて/etc/systemd/system/uyuni-server.service.d/custom.confを変更します。たとえば、次のように設定します。

    [Service]
    Environment=TZ=Europe/Berlin
    Environment="PODMAN_EXTRA_ARGS="
    Environment="https_proxy=user:password@http://192.168.10.1:3128"
  3. Javaアプリケーションのインターネットアクセスの場合は、必要に応じて/etc/rhn/rhn.confを変更します。コンテナ ホストで、mgrctl termを実行し、サーバコンテナ内でコマンドラインを開きます。

    1. 必要に応じて/etc/rhn/rhn.confを変更します。たとえば、次のように設定します。

      # Use proxy FQDN, or FQDN:port
      server.satellite.http_proxy =
      server.satellite.http_proxy_username =
      server.satellite.http_proxy_password =
      # no_proxy is a comma seperated list
      server.satellite.no_proxy =
  4. コンテナホストでサーバを再起動して、新しい設定を適用します。

    systemctl restart uyuni-server.service

5. Air-gapped配備

If you are on an internal network and do not have access to SUSE Customer Center, you can use an Air-gapped Deployment.

運用環境では、SUSE Multi-Linux Managerサーバおよびクライアントはファイアウォールを常に使用する必要があります。必要なポートの一覧は、必須のネットワークポートを参照してください。

6. 必須のネットワークポート

このセクションには、SUSE Multi-Linux Manager内でのさまざまな通信に使用するポートの一覧が記載されています。

これらのポートすべてを開く必要はありません。サービスの使用に必要なポートのみを開く必要があります。

6.2. 外部の着信サーバポート

未許可アクセスからサーバを保護するためにSUSE Multi-Linux Managerサーバでファイアウォールを設定するには、外部の着信ポートが開いている必要があります。

これらのポートを開くと、外部ネットワークトラフィックがSUSE Multi-Linux Managerサーバにアクセスできるようになります。

Table 1. SUSE Multi-Linux Managerサーバの外部ポートの要件
Port number Protocol Used By Notes

67

TCP/UDP

DHCP

Required only if clients are requesting IP addresses from the server.

69

TCP/UDP

TFTP

Required if server is used as a PXE server for automated client installation.

80

TCP

HTTP

Required temporarily for some bootstrap repositories and automated installations.

443

TCP

HTTPS

Serves the Web UI, client, and server and proxy (tftpsync) requests.

4505

TCP

salt

Required to accept communication requests from clients. The client initiates the connection, and it stays open to receive commands from the Salt master.

4506

TCP

salt

Required to accept communication requests from clients. The client initiates the connection, and it stays open to report results back to the Salt master.

5556

TCP

Prometheus

Required for scraping Taskomatic JMX metrics.

5557

TCP

Prometheus

Required for scraping Tomcat JMX metrics.

9100

TCP

Prometheus

Required for scraping Node exporter metrics.

9187

TCP

Prometheus

Required for scraping PostgreSQL metrics.

9800

TCP

Prometheus

Required for scraping Taskomatic metrics.

25151

TCP

Cobbler

6.3. 外部の送信サーバポート

サーバからアクセスできるアクセス先を制限するためにSUSE Multi-Linux Managerサーバでファイアウォールを設定するには、外部の送信ポートが開いている必要があります。

次のポートを開くと、SUSE Multi-Linux Managerサーバからのネットワークトラフィックで外部サービスに通信できます。

Table 2. SUSE Multi-Linux Managerサーバの外部ポートの要件
ポート番号 プロトコル 使用元 注意

80

TCP

HTTP

SUSE Customer Centerで必要です。 ポート80はWeb UIを操作するためには使用されません。

443

TCP

HTTPS

SUSE Customer Centerで必要です。

25151

TCP

Cobbler

6.4. 内部サーバポート

内部ポートは、SUSE Multi-Linux Managerサーバによって内部で使用されます。 内部ポートはlocalhostのみからアクセスできます。

ほとんどの場合、これらのポートを調整する必要はありません。

Table 3. SUSE Multi-Linux Managerサーバの内部ポートの要件
ポート番号 注意

2828

サテライト検索APIであり、TomcatとTaskomaticのRHNアプリケーションで使用されます。

2829

Taskomatic APIであり、TomcatのRHNアプリケーションで使用されます。

8005

Tomcatのシャットダウンポート。

8009

TomcatからApache HTTPD (AJP)。

8080

TomcatからApache HTTPD (HTTP)。

9080

Salt-APIであり、TomcatとTaskomaticのRHNアプリケーションで使用されます。

25151

CobblerのXMLRPC API

32000

Taskomaticおよびサテライト検索を実行する仮想マシン(JVM)へのTCP接続用のポート。

ポート32768以上は一時ポートとして使用されます。これらは、TCP接続の受信に最も頻繁に使用されます。TCP接続リクエストが受信されると、送信元はこれらの一時ポート番号のいずれかを選択して、宛先ポートと照合します。

次のコマンドを使用して、一時ポートであるポートを確認できます。

cat /proc/sys/net/ipv4/ip_local_port_range

6.5. 外部の着信プロキシポート

未許可アクセスからプロキシを保護するためにSUSE Multi-Linux Managerプロキシでファイアウォールを設定するには、外部の着信ポートが開いている必要があります。

これらのポートを開くと、外部ネットワークトラフィックがSUSE Multi-Linux Managerプロキシにアクセスできるようになります。

Table 4. SUSE Multi-Linux Managerプロキシの外部ポートの要件
Port number Protocol Used By Notes

22

Only required if the user wants to manage the proxy host with Salt SSH.

67

TCP/UDP

DHCP

Required only if clients are requesting IP addresses from the server.

69

TCP/UDP

TFTP

Required if the server is used as a PXE server for automated client installation.

443

TCP

HTTPS

Web UI, client, and server and proxy (tftpsync) requests.

4505

TCP

salt

Required to accept communication requests from clients. The client initiates the connection, and it stays open to receive commands from the Salt master.

4506

TCP

salt

Required to accept communication requests from clients. The client initiates the connection, and it stays open to report results back to the Salt master.

8022

Required for ssh-push and ssh-push-tunnel contact methods. Clients connected to the proxy initiate check in on the server and hop through to clients.

6.6. 外部の送信プロキシポート

プロキシからアクセスできるアクセス先を制限するためにSUSE Multi-Linux Managerプロキシでファイアウォールを設定するには、外部の送信ポートが開いている必要があります。

次のポートを開くと、SUSE Multi-Linux Managerプロキシからのネットワークトラフィックで外部サービスに通信できます。

Table 5. SUSE Multi-Linux Managerプロキシの外部ポートの要件
ポート番号 プロトコル 使用元 注意

80

サーバにアクセスするために使用します。

443

TCP

HTTPS

SUSE Customer Centerで必要です。

4505

TCP

Salt

Saltマスターに直接またはプロキシ経由で接続する必要があります。

4506

TCP

Salt

Saltマスターに直接またはプロキシ経由で接続する必要があります。

6.7. 外部クライアントポート

SUSE Multi-Linux Managerサーバとそのクライアントの間でファイアウォールを設定するには、外部クライアントポートが開いている必要があります。

ほとんどの場合、これらのポートを調整する必要はありません。

Table 6. SUSE Multi-Linux Managerクライアントの外部ポートの要件
ポート番号 方向 プロトコル 注意

22

着信

SSH

ssh-pushおよびssh-push-tunnelの接続メソッドに必要です。

80

送信

サーバまたはプロキシにアクセスするために使用します。

443

送信

サーバまたはプロキシにアクセスするために使用します。

4505

送信

TCP

Saltマスターに直接またはプロキシ経由で接続する必要があります。

4506

送信

TCP

Saltマスターに直接またはプロキシ経由で接続する必要があります。

9090

送信

TCP

Prometheusユーザインターフェースに必要です。

9093

送信

TCP

Prometheus警告マネージャに必要です。

9100

送信

TCP

Prometheusノードエクスポータに必要です。

9117

送信

TCP

Prometheus Apacheエクスポータに必要です。

9187

送信

TCP

Prometheus PostgreSQLに必要です。

6.8. 必要なURL

クライアントを登録して更新を実行するためにSUSE Multi-Linux Managerがアクセスできる必要があるURLがあります。ほとんどの場合、次のURLにアクセスできれば十分です。

  • scc.suse.com

  • updates.suse.com

  • installer-updates.suse.com

  • registry.suse.com

  • registry-storage.suse.com

指定したURLとそれに関連するIPアドレスをホワイトリストに登録する方法の詳細については、次の記事を参照してください: ファイアウォール内および/またはプロキシ経由でSUSE Customer CenterとSUSEレジストリにアクセスする

SUSE以外のクライアントを使用している場合、該当するオペレーティングシステム用の特定のパッケージを提供するその他のサーバにもアクセスできる必要がある場合があります。たとえば、Ubuntuクライアントがある場合、Ubuntuサーバにアクセスできる必要があります。

SUSE以外のクライアントでファイアウォールアクセスのトラブルシューティングを行う方法の詳細については、ファイアウォールのトラブルシューティングを参照してください。