ネットワーク要件
このセクションでは、SUSE Managerのネットワークとポートの要件について詳しく説明します。
1. 完全修飾ドメイン名(FQDN)
SUSE Managerサーバは、そのFQDNを正しく解決する必要があります。FQDNを解決できない場合、多数のコンポーネントで重大な問題の原因になる場合があります。
ホスト名とDNSの設定の詳細については、https://documentation.suse.com/sles/15-SP4/html/SLES-all/cha-network.html#sec-network-yast-change-hostを参照してください。
2. ホスト名とIPアドレス
SUSE Managerのドメイン名をそのクライアントで解決できることを確認するには、サーバとクライアントの両方のマシンを動作中のDNSサーバに接続する必要があります。リバース参照が正しく設定されていることも確認する必要があります。
DNSサーバの設定の詳細については、https://documentation.suse.com/sles/15-SP4/html/SLES-all/cha-dns.htmlを参照してください。
3. Air-gapped配備
社内ネットワーク上で操作していて、SUSE Customer Centerにアクセスできない場合、Air-gapped配備を使用できます。
運用環境では、SUSE Managerサーバおよびクライアントはファイアウォールを常に使用する必要があります。必要なポートの一覧は、必須のネットワークポートを参照してください。
4. ポート
このセクションには、SUSE Manager内でのさまざまな通信に使用するポートの一覧が記載されています。
これらのポートすべてを開く必要はありません。サービスの使用に必要なポートのみを開く必要があります。
4.1. 外部の着信サーバポート
未許可アクセスからサーバを保護するためにSUSE Managerサーバでファイアウォールを設定するには、外部の着信ポートが開いている必要があります。
これらのポートを開くと、外部ネットワークトラフィックがSUSE Managerサーバにアクセスできるようになります。
| ポート番号 | プロトコル | 使用元 | 注意 |
|---|---|---|---|
22 |
ssh-pushおよびssh-push-tunnelの接続メソッドに必要です。 |
||
67 |
TCP/UDP |
DHCP |
クライアントがサーバからIPアドレスをリクエストしている場合のみ必要です。 |
69 |
TCP/UDP |
TFTP |
自動化されたクライアントのインストールのためにサーバがPXEサーバとして使用されている場合に必要です。 |
80 |
TCP |
HTTP |
一部のブートストラップリポジトリおよび自動化されたインストールのために一時的に必要です。 |
443 |
TCP |
HTTPS |
Web UI、クライアント、およびサーバとプロキシ( |
4505 |
TCP |
salt |
クライアントからの通信リクエストを受け入れるために必要です。 クライアントは、接続を開始し、開いたままになり、Saltマスタからのコマンドを受信します。 |
4506 |
TCP |
salt |
クライアントからの通信リクエストを受け入れるために必要です。 クライアントは、接続を開始し、開いたままになり、Saltマスタに結果を返します。 |
25151 |
TCP |
Cobbler |
4.2. 外部の送信サーバポート
サーバからアクセスできるアクセス先を制限するためにSUSE Managerサーバでファイアウォールを設定するには、外部の送信ポートが開いている必要があります。
次のポートを開くと、SUSE Managerサーバからのネットワークトラフィックで外部サービスに通信できます。
| ポート番号 | プロトコル | 使用元 | 注意 |
|---|---|---|---|
80 |
TCP |
HTTP |
SUSE Customer Centerで必要です。 ポート80はWeb UIを操作するためには使用されません。 |
443 |
TCP |
HTTPS |
SUSE Customer Centerで必要です。 |
25151 |
TCP |
Cobbler |
4.3. 内部サーバポート
内部ポートは、SUSE Managerサーバによって内部で使用されます。内部ポートはlocalhostのみからアクセスできます。
ほとんどの場合、これらのポートを調整する必要はありません。
| ポート番号 | 注意 |
|---|---|
2828 |
サテライト検索APIであり、TomcatとTaskomaticのRHNアプリケーションで使用されます。 |
2829 |
Taskomatic APIであり、TomcatのRHNアプリケーションで使用されます。 |
8005 |
Tomcatのシャットダウンポート。 |
8009 |
TomcatからApache HTTPD (AJP)。 |
8080 |
TomcatからApache HTTPD (HTTP)。 |
9080 |
Salt-APIであり、TomcatとTaskomaticのRHNアプリケーションで使用されます。 |
32000 |
Taskomaticおよびサテライト検索を実行する仮想マシン(JVM)へのTCP接続用のポート。 |
ポート32768以上は一時ポートとして使用されます。これらは、TCP接続の受信に最も頻繁に使用されます。TCP接続リクエストが受信されると、送信元はこれらの一時ポート番号のいずれかを選択して、宛先ポートと照合します。
次のコマンドを使用して、一時ポートであるポートを確認できます。
cat /proc/sys/net/ipv4/ip_local_port_range
4.4. 外部の着信プロキシポート
未許可アクセスからプロキシを保護するためにSUSE Managerプロキシでファイアウォールを設定するには、外部の着信ポートが開いている必要があります。
これらのポートを開くと、外部ネットワークトラフィックがSUSE Managerプロキシにアクセスできるようになります。
| ポート番号 | プロトコル | 使用元 | 注意 |
|---|---|---|---|
22 |
ssh-pushおよびssh-push-tunnelの接続メソッドに必要です。 プロキシに接続されているクライアントは、サーバへのチェックインを開始し、クライアントにホップします。 |
||
67 |
TCP/UDP |
DHCP |
クライアントがサーバからIPアドレスをリクエストしている場合のみ必要です。 |
69 |
TCP/UDP |
TFTP |
自動化されたクライアントのインストールのためにサーバがPXEサーバとして使用されている場合に必要です。 |
443 |
TCP |
HTTPS |
Web UI、クライアント、およびサーバとプロキシ( |
4505 |
TCP |
salt |
クライアントからの通信リクエストを受け入れるために必要です。 クライアントは、接続を開始し、開いたままになり、Saltマスタからのコマンドを受信します。 |
4506 |
TCP |
salt |
クライアントからの通信リクエストを受け入れるために必要です。 クライアントは、接続を開始し、開いたままになり、Saltマスタに結果を返します。 |
4.5. 外部の送信プロキシポート
プロキシからアクセスできるアクセス先を制限するためにSUSE Managerプロキシでファイアウォールを設定するには、外部の送信ポートが開いている必要があります。
次のポートを開くと、SUSE Managerプロキシからのネットワークトラフィックで外部サービスに通信できます。
| ポート番号 | プロトコル | 使用元 | 注意 |
|---|---|---|---|
80 |
サーバにアクセスするために使用します。 |
||
443 |
TCP |
HTTPS |
SUSE Customer Centerで必要です。 |
4.6. 外部クライアントポート
SUSE Managerサーバとそのクライアントの間でファイアウォールを設定するには、外部クライアントポートが開いている必要があります。
ほとんどの場合、これらのポートを調整する必要はありません。
| ポート番号 | 方向 | プロトコル | 注意 |
|---|---|---|---|
22 |
着信 |
SSH |
ssh-pushおよびssh-push-tunnelの接続メソッドに必要です。 |
80 |
送信 |
サーバまたはプロキシにアクセスするために使用します。 |
|
9090 |
送信 |
TCP |
Prometheusユーザインターフェースに必要です。 |
9093 |
送信 |
TCP |
Prometheus警告マネージャに必要です。 |
9100 |
送信 |
TCP |
Prometheusノードエクスポータに必要です。 |
9117 |
送信 |
TCP |
Prometheus Apacheエクスポータに必要です。 |
9187 |
送信 |
TCP |
Prometheus PostgreSQLに必要です。 |
4.7. 必要なURL
クライアントを登録して更新を実行するためにSUSE Managerがアクセスできる必要があるURLがあります。ほとんどの場合、次のURLにアクセスできれば十分です。
-
scc.suse.com
-
updates.suse.com
SUSE以外のクライアントを使用している場合、該当するオペレーティングシステム用の特定のパッケージを提供するその他のサーバにもアクセスできる必要がある場合があります。たとえば、Ubuntuクライアントがある場合、Ubuntuサーバにアクセスできる必要があります。
SUSE以外のクライアントでファイアウォールアクセスのトラブルシューティングを行う方法の詳細については、ファイアウォールのトラブルシューティングを参照してください。