CentOS7 部署安装4.11.0 安装记录。firewalld未关闭。
假设 ssh 连接端口 是5555 而不是 22
准备两台主机。一个作为管理节点,一个作为计算节点
manager 管理节点
主机名: manager
主机IP: 192.168.199.91
ssh端口号: 5555
agent 计算节点
主机名: agent
主机IP: 192.168.199.92
ssh端口号: 5555
这里ssh端口号为什么改成5555而不用原来的22。。。这个就当是为了安全吧,其实按照我的做法,估计也安全不到那里去。。。
修改方法, 编辑 /etc/ssh/sshd_config 文件
vim /etc/ssh/sshd_config
在 # Port 22 下添加一行
Port 5555
如果担心 5555 设置后连接不上,可以先把 #Port 22注释先去掉,如果可以使用5555正常连接,再重新注释 重启sshd,不然要是远程连接可能连接不上了
重启 sshd 服务
systemctl restart sshd
开启防火墙firewalld 关于CentOS7防火墙使用,这里不做过多赘述,因为我本身也不是很了解。。。网上搜索吧
systemctl start firewalld
查看防火墙 开放的端口
firewall-cmd --list-port
查看防火墙 开放的 服务
firewall-cmd --list-service
个人。理解,服务和端口号基本一致,开放服务就是开放服务对应的端口号,服务可在 /usr/lib/firewalld/service/目录查看
如mysql 服务 对应开放3306/tcp 端口
cat /usr/lib/firewalld/service/mysql.xml
开启防火墙之后。。。5555端口默认是没有开放的。因此要开放5555端口,才能使用ssh连接。
开放端口
firewall-cmd --add-port=5555/tcp --permanent
重新加载防火墙
firewall-cmd --reload
这里开启防火墙 因为一般,防火墙是不会关闭的。。。实验情况下关闭firewalld是为了方便。。。
安装必备软件需开放的端口
nfs
yum -y install nfs-utils
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
RQUOTAD_PORT=875
STATD_PORT=662
STATD_OUTGOING_PORT=2020
开放端口
firewall-cmd --permanent --add-port=111/tcp
firewall-cmd --permanent --add-port=111/udp
firewall-cmd --permanent --add-port=2049/tcp
firewall-cmd --permanent --add-port=2049/udp
firewall-cmd --permanent --add-port 32803/tcp
firewall-cmd --permanent --add-port 32769/udp
firewall-cmd --permanent --add-port 892/tcp
firewall-cmd --permanent --add-port 892/udp
firewall-cmd --permanent --add-port 875/tcp
firewall-cmd --permanent --add-port 875/udp
firewall-cmd --permanent --add-port 662/tcp
firewall-cmd --permanent --add-port 662/udp
firewall-cmd --reload
mysql 或 mariadb
开放服务
firewall-cmd --permanent --add-service=mysql
firewall-cmd --reload
安装CloudStack
一、管理节点
管理节点安装完毕且 进行数据初始化 启动后
查看 cloudstack-management安装日志
cat /var/log/cloudstack/management/setupManagement.log
可以看到 有类似这样的语句
iptables -I INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
这是CentOS使用firewalld之前的防火墙工具iptable规则添加语句 。。。 可知需要开放 8080 8250 9090 端口 tcp,也有一些文档建议开放 3922: 安全系统的安全通信端口
所以四个都开放
firewall-cmd --permanent --add-port=8250/tcp
firewall-cmd --permanent --add-port=9090/tcp
firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --permanent --add-port=3922/tcp
firewall-cmd --reload
二、计算节点
设置端口转发。。。 22-5555,因为管理节点添加主机时会使用ssh连接计算节点。使用默认端口是22,我没找到哪里修改默认端口的,因此使用 firewalld端口转发功能 将22端口转向5555(前面修改过,5555才是ssh连接的端口)
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP
先允许防火墙 伪装IP
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload
设置端口转发
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=5555 --permanent
firewall-cmd --reload
查看端口转发
firewall-cmd --list-forward
现在 又可以使用 22 端口 进行ssh连接了。所以说我这种方式一点都不安全。。。22端口没被防火墙阻止,是因为firewalld默认开放了 ssh 服务,二ssh 服务 对应的 .xml 文件就是 22/tcp。我们没修改,所以 22 端口是开放的。。。
添加主机完毕,也可以看到与管理节点 类似的计算节点安装日志。。。
cat /var/log/cloudstack/agent/setup.log
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 22
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 22 -j ACCEPT
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 16509
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 5900:6100
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 49152:49216
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
DEBUG:root:execute:iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited
DEBUG:root:execute:iptables-save > /etc/sysconfig/iptables
所以 提前开放相关端口
这里有一些问题。。。cloudstack4.11.3 如果计算节点如果开启防火墙,那么管理节点的日志文件会有ERROR
2020-04-13 17:14:09,827 ERROR [o.a.c.c.p.RootCACustomTrustManager] (pool-29-thread-1:null) (logid:) Certificate ownership verification failed for client: 192.168.199.92
2020-04-13 17:14:09,828 ERROR [c.c.u.n.Link] (AgentManager-SSLHandshakeHandler-3:null) (logid:) SSL error caught during wrap data: General SSLEngine problem, for local address=/192.168.199.91:8250, remote address=/192.168.199.92:41120.
而且二级存储一直为零,两个系统VM状态也不对。。。不知是不是端口问题,4.11.0 是正常的。。。
firewall-cmd --add-port=16509/tcp --permanent
firewall-cmd --add-port=1798/tcp --permanent
firewall-cmd --add-port=16514/tcp --permanent
firewall-cmd --add-port=5900-6100/tcp --permanent
firewall-cmd --add-port=49152-49216/tcp --permanent
firewall-cmd --reload
如果不添加这些端口,查看控制台时,可能报错
Unable to start console session as connection is refused by the machine you are accessing
安装nginx 当作镜像仓库
安装NGINX当做 镜像服务器后firewalld要开启相应服务 没有相应服务,那就开启端口 443 和80
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload
其他的与防火墙关闭时安装部署一致
https://blog.csdn.net/dandanfengyun/article/details/105115895
