防火墙和默认端口¶

在某些部署中，例如配置了严格防火墙的部署，您可能需要手动配置防火墙以允许 OpenStack 服务流量。

要手动配置防火墙，您必须允许通过每个 OpenStack 服务使用的端口进行流量传输。下表列出了每个 OpenStack 服务使用的默认端口

OpenStack 组件使用的默认端口¶
OpenStack 服务	默认端口
备份服务 (`Freezer`)	9090
裸机配置服务 (`Ironic`)	6385
块存储 (`cinder`)	8776
计算 (`nova`) 端点	8774
访问虚拟机控制台的计算端口	5900-5999
用于浏览器的计算 VNC 代理 (openstack-nova-novncproxy)	6080
用于传统 VNC 客户端的计算 VNC 代理 (openstack-nova-xvpvncproxy)	6081
容器基础设施管理 (`Magnum`)	9511
容器服务 (`Zun`)	9517
数据库服务 (`Trove`)	8779
DNS 服务 (`Designate`)	9001
高可用性服务 (`Masakari`)	15868
身份验证服务 (`keystone`) 端点	5000
镜像服务 (`glance`) API	9292
密钥管理服务 (`Barbican`)	9311
负载均衡服务 (`Octavia`)	9876
网络 (`neutron`)	9696
NFV 编排服务 (`tacker`)	9890
对象存储 (`swift`)	6000, 6001, 6002
编排 (`heat`) 端点	8004
编排 AWS CloudFormation 兼容 API (`openstack-heat-api-cfn`)	8000
Placement API (`placement`)	8003
计算服务使用的 HTML5 控制台代理端口	6082
评级服务 (`Cloudkitty`)	8889
注册服务 (`Adjutant`)	5050
资源预留服务 (`Blazar`)	1234
根本原因分析服务 (`Vitrage`)	8999
共享文件系统服务 (`Manila`)	8786
遥测告警服务 (`Aodh`)	8042
工作流服务 (`Mistral`)	8989

为了正常工作，某些 OpenStack 组件依赖于其他非 OpenStack 服务。例如，OpenStack 仪表板使用 HTTP 进行非安全通信。在这种情况下，您必须配置防火墙以允许与 HTTP 的流量进出。

下表列出了其他 OpenStack 组件使用的端口

与 OpenStack 组件相关的辅助服务使用的默认端口¶
服务	默认端口	由以下服务使用
HTTP	80	OpenStack 仪表板 (`Horizon`)，当未配置为使用安全访问时。
HTTP 替代	8080	OpenStack 对象存储 (`swift`) 服务。
HTTPS	443	任何启用 SSL 的 OpenStack 服务，尤其是安全访问仪表板。
rsync	873	OpenStack 对象存储。必需。
iSCSI 目标	3260	OpenStack 块存储。在使用 LVM 与 iSCSI 目标 (tgt, LIO, iSER) 时必需
NVMe-oF 目标	4420	OpenStack 块存储。在使用 LVM 与 NVMe-oF 目标 (nvmet) 时必需
MySQL 数据库服务	3306	大多数 OpenStack 组件。
消息代理 (AMQP 流量)	5672	OpenStack 块存储、网络、编排和计算。

在某些部署中，服务使用的默认端口可能位于主机的定义的本地端口范围内。要检查主机的本地端口范围

$ sysctl net.ipv4.ip_local_port_range

如果服务的默认端口位于此范围内，请运行以下程序以检查该端口是否已被另一个应用程序分配

$ lsof -i :PORT

如果默认端口已被另一个应用程序使用，请配置服务以使用不同的端口。

防火墙和默认端口