ネットワーク要件
このセクションでは、SUSE Multi-Linux Managerのネットワークとポートの要件について詳しく説明します。
|
IP転送は、コンテナ化されたインストールによって有効になります。つまり、SUSE Multi-Linux Managerサーバとプロキシはルータとして動作します。この動作はpodmanによって直接実行されます。IP転送が無効になっている場合、Podmanコンテナは実行されません。 ポリシーに従って、SUSE Multi-Linux Manager環境のネットワーク分離を実現することを検討してください。 詳細については、https://www.suse.com/support/kb/doc/?id=000020166を参照してください。 |
1. 完全修飾ドメイン名(FQDN)
SUSE Multi-Linux Managerサーバは、そのFQDNを正しく解決する必要があります。FQDNを解決できない場合、多数のコンポーネントで重大な問題の原因になる場合があります。
ホスト名とDNSの設定の詳細については、https://documentation.suse.com/sles/15-SP7/html/SLES-all/cha-network.html#sec-network-yast-change-hostを参照してください。
2. ホスト名とIPアドレス
SUSE Multi-Linux Managerのドメイン名をそのクライアントで解決できることを確認するには、サーバとクライアントの両方のマシンを動作中のDNSサーバに接続する必要があります。リバース参照が正しく設定されていることも確認する必要があります。
DNSサーバの設定の詳細については、https://documentation.suse.com/sles/15-SP7/html/SLES-all/cha-dns.htmlを参照してください。
3. ルータ広告の再有効化
When the SUSE Multi-Linux Manager is installed using mgradm install podman or mgrpxy install podman, it sets up Podman which enables IPv4 and IPv6 forwarding. This is needed for communication from the outside of the container.
However, if your system previously had /proc/sys/net/ipv6/conf/eth0/accept_ra set to 1, it will stop using router advertisements. As a result, the routes are no longer obtained via router advertisements and the default IPv6 route is missing.
IPv6ルーティングの正常な機能を回復するには、次のいずれかに応じて、以下のプロシージャに従います。
-
サーバとプロキシが15 SP7ベース(Network Managerを使用しない)
-
サーバとプロキシがSL Micro 6.1ベース(Network Managerを使用)
Create a file in
/etc/sysctl.d, for example99-ipv6-ras.conf.次のパラメータと値をファイルに追加します。
net.ipv6.conf.eth0.accept_ra = 2再起動します。
|
Network management is not working when you have no wicked. |
List your connections with
nmcli connection show.Create or modify the file
/etc/NetworkManager/system-connections/<name of connection>.nmconnectionto add this setting:[ipv6] addr-gen-mode=eui64再起動します。
ファイルは次のようになります。
[connection] id=Wired connection 1 type=ethernet interface-name=eth0 [ethernet] [ipv4] dns-priority=20 method=auto [ipv6] addr-gen-mode=eui64 method=auto
4. HTTPまたはHTTPSのOSIレベル7プロキシの背後での配備
一部の環境では、HTTPまたはHTTPSプロキシを介したインターネットアクセスが強制されています。 これはSquidサーバなどのサーバが対象となります。 このような設定でSUSE Multi-Linux Managerサーバのインターネットアクセスを許可するには、次のように設定する必要があります。
-
For operating system internet access, modify
/etc/sysconfig/proxyaccording to your needs:PROXY_ENABLED="no" HTTP_PROXY="" HTTPS_PROXY="" NO_PROXY="localhost, 127.0.0.1" -
For
Podmancontainer internet access, modify/etc/systemd/system/uyuni-server.service.d/custom.confaccording to your needs. For example, set:[Service] Environment=TZ=Europe/Berlin Environment="PODMAN_EXTRA_ARGS=" Environment="https_proxy=user:password@http://192.168.10.1:3128" -
For Java application internet access, modify
/etc/rhn/rhn.confaccording to your needs. On the container host, executemgrctl termto open a command line inside the server container:-
Modify
/etc/rhn/rhn.confaccording to your needs. For example, set:# Use proxy FQDN, or FQDN:port server.satellite.http_proxy = server.satellite.http_proxy_username = server.satellite.http_proxy_password = # no_proxy is a comma seperated list server.satellite.no_proxy =
-
-
コンテナホストでサーバを再起動して、新しい設定を適用します。
systemctl restart uyuni-server.service
5. Air-gapped配備
社内ネットワーク上で操作していて、SUSE Customer Centerにアクセスできない場合、Air-gapped配備を使用できます。
運用環境では、SUSE Multi-Linux Managerサーバおよびクライアントはファイアウォールを常に使用する必要があります。必要なポートの一覧は、必須のネットワークポートを参照してください。
6. 必須のネットワークポート
このセクションには、SUSE Multi-Linux Manager内でのさまざまな通信に使用するポートの一覧が記載されています。
これらのポートすべてを開く必要はありません。サービスの使用に必要なポートのみを開く必要があります。
6.2. 外部の着信サーバポート
未許可アクセスからサーバを保護するためにSUSE Multi-Linux Managerサーバでファイアウォールを設定するには、外部の着信ポートが開いている必要があります。
これらのポートを開くと、外部ネットワークトラフィックがSUSE Multi-Linux Managerサーバにアクセスできるようになります。
| Port number | Protocol | Used By | Notes |
|---|---|---|---|
67 |
TCP/UDP |
DHCP |
Required only if clients are requesting IP addresses from the server. |
69 |
TCP/UDP |
TFTP |
Required if server is used as a PXE server for automated client installation. |
80 |
TCP |
HTTP |
Required temporarily for some bootstrap repositories and automated installations. |
443 |
TCP |
HTTPS |
Serves the Web UI, client, and server and proxy ( |
4505 |
TCP |
salt |
Required to accept communication requests from clients. The client initiates the connection, and it stays open to receive commands from the Salt master. |
4506 |
TCP |
salt |
Required to accept communication requests from clients. The client initiates the connection, and it stays open to report results back to the Salt master. |
5432 |
TCP |
PostgreSQL |
Required to access the reporting database. |
5556 |
TCP |
Prometheus |
Required for scraping Taskomatic JMX metrics. |
5557 |
TCP |
Prometheus |
Required for scraping Tomcat JMX metrics. |
9100 |
TCP |
Prometheus |
Required for scraping Node exporter metrics. |
9187 |
TCP |
Prometheus |
Required for scraping PostgreSQL metrics. |
9800 |
TCP |
Prometheus |
Required for scraping Taskomatic metrics. |
6.3. 外部の送信サーバポート
サーバからアクセスできるアクセス先を制限するためにSUSE Multi-Linux Managerサーバでファイアウォールを設定するには、外部の送信ポートが開いている必要があります。
次のポートを開くと、SUSE Multi-Linux Managerサーバからのネットワークトラフィックで外部サービスに通信できます。
| Port number | Protocol | Used By | Notes |
|---|---|---|---|
80 |
TCP |
HTTP |
Required for SUSE Customer Center. Port 80 is not used to serve the Web UI. |
443 |
TCP |
HTTPS |
Required for SUSE Customer Center. |
6.4. 内部サーバポート
Internal ports are used internally by the SUSE Multi-Linux Manager Server. Internal ports are only accessible from localhost.
ほとんどの場合、これらのポートを調整する必要はありません。
| ポート番号 | 注意 |
|---|---|
2828 |
サテライト検索APIであり、TomcatとTaskomaticのRHNアプリケーションで使用されます。 |
2829 |
Taskomatic APIであり、TomcatのRHNアプリケーションで使用されます。 |
8005 |
Tomcatのシャットダウンポート。 |
8009 |
TomcatからApache HTTPD (AJP)。 |
8080 |
TomcatからApache HTTPD (HTTP)。 |
9080 |
Salt-APIであり、TomcatとTaskomaticのRHNアプリケーションで使用されます。 |
32000 |
Taskomaticおよびサテライト検索を実行する仮想マシン(JVM)へのTCP接続用のポート。 |
ポート32768以上は一時ポートとして使用されます。これらは、TCP接続の受信に最も頻繁に使用されます。TCP接続リクエストが受信されると、送信元はこれらの一時ポート番号のいずれかを選択して、宛先ポートと照合します。
次のコマンドを使用して、一時ポートであるポートを確認できます。
cat /proc/sys/net/ipv4/ip_local_port_range
6.5. 外部の着信プロキシポート
未許可アクセスからプロキシを保護するためにSUSE Multi-Linux Managerプロキシでファイアウォールを設定するには、外部の着信ポートが開いている必要があります。
これらのポートを開くと、外部ネットワークトラフィックがSUSE Multi-Linux Managerプロキシにアクセスできるようになります。
| Port number | Protocol | Used By | Notes |
|---|---|---|---|
22 |
Only required if the user wants to manage the proxy host with Salt SSH. |
||
67 |
TCP/UDP |
DHCP |
Required only if clients are requesting IP addresses from the server. |
69 |
TCP/UDP |
TFTP |
Required if the server is used as a PXE server for automated client installation. |
443 |
TCP |
HTTPS |
Web UI, client, and server and proxy ( |
4505 |
TCP |
salt |
Required to accept communication requests from clients. The client initiates the connection, and it stays open to receive commands from the Salt master. |
4506 |
TCP |
salt |
Required to accept communication requests from clients. The client initiates the connection, and it stays open to report results back to the Salt master. |
8022 |
Required for ssh-push and ssh-push-tunnel contact methods. Clients connected to the proxy initiate check in on the server and hop through to clients. |
6.6. 外部の送信プロキシポート
プロキシからアクセスできるアクセス先を制限するためにSUSE Multi-Linux Managerプロキシでファイアウォールを設定するには、外部の送信ポートが開いている必要があります。
次のポートを開くと、SUSE Multi-Linux Managerプロキシからのネットワークトラフィックで外部サービスに通信できます。
| ポート番号 | プロトコル | 使用元 | 注意 |
|---|---|---|---|
80 |
サーバにアクセスするために使用します。 |
||
443 |
TCP |
HTTPS |
SUSE Customer Centerで必要です。 |
4505 |
TCP |
Salt |
Saltマスターに直接またはプロキシ経由で接続する必要があります。 |
4506 |
TCP |
Salt |
Saltマスターに直接またはプロキシ経由で接続する必要があります。 |
6.7. 外部クライアントポート
SUSE Multi-Linux Managerサーバとそのクライアントの間でファイアウォールを設定するには、外部クライアントポートが開いている必要があります。
ほとんどの場合、これらのポートを調整する必要はありません。
| ポート番号 | 方向 | プロトコル | 注意 |
|---|---|---|---|
22 |
着信 |
SSH |
ssh-pushおよびssh-push-tunnelの接続メソッドに必要です。 |
80 |
送信 |
サーバまたはプロキシにアクセスするために使用します。 |
|
443 |
送信 |
サーバまたはプロキシにアクセスするために使用します。 |
|
4505 |
送信 |
TCP |
Saltマスターに直接またはプロキシ経由で接続する必要があります。 |
4506 |
送信 |
TCP |
Saltマスターに直接またはプロキシ経由で接続する必要があります。 |
9090 |
送信 |
TCP |
Prometheusユーザインターフェースに必要です。 |
9093 |
送信 |
TCP |
Prometheus警告マネージャに必要です。 |
9100 |
送信 |
TCP |
Prometheusノードエクスポータに必要です。 |
9117 |
送信 |
TCP |
Prometheus Apacheエクスポータに必要です。 |
9187 |
送信 |
TCP |
Prometheus PostgreSQLに必要です。 |
6.8. 必要なURL
クライアントを登録して更新を実行するためにSUSE Multi-Linux Managerがアクセスできる必要があるURLがあります。ほとんどの場合、次のURLにアクセスできれば十分です。
-
scc.suse.com -
updates.suse.com -
installer-updates.suse.com -
registry.suse.com -
registry-storage.suse.com -
opensuse.org
さらに、SUSE以外の製品の場合は、次のURLへのアクセスが必要になる場合があります。
-
download.nvidia.com -
public.dhe.ibm.com -
nu.novell.com
You can find additional details on whitelisting the specified URLs and their associated IP addresses in this article: Accessing SUSE Customer Center and SUSE registry behind a firewall and/or through a proxy.
SUSE以外のクライアントを使用している場合、該当するオペレーティングシステム用の特定のパッケージを提供するその他のサーバにもアクセスできる必要がある場合があります。たとえば、Ubuntuクライアントがある場合、Ubuntuサーバにアクセスできる必要があります。
SUSE以外のクライアントでファイアウォールアクセスのトラブルシューティングを行う方法の詳細については、ファイアウォールのトラブルシューティングを参照してください。