Article ID: 1004, created on Jun 18, 2010, last review on Jun 18, 2015

  • Applies to:
  • Virtual Automation

Решение

1. Аппаратный узел (цепочки ВВОДА, ВЫВОДА)

* Закрыть все порты кроме порта 22.
* Закрыть порты 20, 21, 80, 110 для хостинга на базе имен, если планируется его использовать (см. ниже).
* Открыть порт 80, если используются EZ-шаблоны. Для создания кэша шаблонов требуется подключение к внешним репозиториям.
* Открыть порт 21, если используются EZ-шаблоны Debian. Для создания кэша шаблонов требуется подключение к репозиторию Debian.
* Открыть порт 443, если требуется подключение к серверу vzup2date vzup2date.swsoft.com.
* Открыть порт 5224, если требуется подключение к Parallels Key Administrator для обновления лицензии Virtuozzo.
* Открыть порт 443 – XML-подключение без шифрования к VZAgent.
* Открыть порт 443 – XML-подключение SSL (с шифрованием) к VZAgent.
* Открыть порт 4435 – подключение к VZAgent для передачи данных в двоичном формате.

2. Служебный контейнер (цепочки ВВОДА, ВЫВОДА)
Входящие соединения:

* Порт 22 с узлов в том же кластере, с рабочих станций VZMC/PMC и из PBAS (если для управления аппаратным узлом используется VZMC/PMC и PBAS).
* Порты 25, 110, 80 со всех источников: служебный контейнер берет IP-адрес контейнера, который остановлен для выполнения резервного копирования или миграции, и показывает сообщение о проведении обслуживания. Для хостинга на базе имен также должен быть открыт порт 25.
* Порт 389 должен быть открыт для входящих/исходящих соединений с аппаратного узла.
* Порты 4643, 8443 со всех источников: это порты VZPP/PPP и Plesk.
* Порт 464 – это порт SOAP-интерфейса VZAgent. Порт следует открыть для выбранных узлов, если планируется использование этого интерфейса.
* Порты 4433, 4434, 4435 – подключение к VZAgent с аппаратного узла.
* Порт 8880 – интеграция между Parallels Plesk Control Panel и Parallels Power Panel.

Пример для портов 4643 и 389 (они должны быть открыты в обоих каталогах):
Chain VZ_INPUT (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4643
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:4643
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:389
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:389

Chain VZ_OUTPUT (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:4643
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:389
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:389
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:4643

Example for port 8880 inside Service Container:
Chain VZ_INPUT (1 references)
target prot opt source destination

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:8880

Chain VZ_OUTPUT (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8880

Исходящие соединения:

* Порт 22 должен быть открыт для подключения к другим узлам в том же кластере.

Примечание. Убедитесь, что в настройках брандмауэра разрешен доступ к внешним ресурсам, необходимым для Virtuozzo:
ka.odin.com
vzup2date.swsoft.com
vzup2date.parallels.com
autoinstall.plesk.com
Все сервера для репозиториев, указанных в файле /etc/vztt/vztt.conf (Virtuozzo 3.0) или /etc/vztt/url.map (PVC 4.0).


Хостинг на базе имен – это метод создания контейнеров с внутренними IP-адресами (вида 192.168.*.*) и переадресацией четырех протоколов (HTTP, FTP, SMTP и POP3) для контейнеров в соответствии с их именем узла. Хостинг на базе имен не имеет ничего общего с виртуальными хостами на базе имен узлов в конфигурации Apache.

2897d76d56d2010f4e3a28f864d69223 319940068c5fa20655215d590b7be29b

Email subscription for changes to this article
Save as PDF