vCloudDirector服务器防火墙配置
vCloud Director 5.5.1安装环境RHEL 6.5
iptables –F 清空规则
vi /etc/sysconfig/iptables 编辑内容
# Generated by iptables-save v1.4.7 on TueMar 26 15:52:56 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A OUTPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-typeany -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --stateESTABLISHED,RELATED,NEW -j ACCEPT
#Simple
# Begin listing vCloud Director PortsNeeded
# vCloud WebServices & vCenter/ESXConnections
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 443 -j ACCEPT
# vCloud Optional
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 80 -j ACCEPT
# SSH
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 22 -j ACCEPT
# vCloud Remote Console
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 902 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 903 -j ACCEPT
#NFS
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --sport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --sport 111 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 920 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --sport 920 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 920 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --sport 920 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --sport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --sport 2049 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 32803 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 32769 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 892 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 875 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 662 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 662 -j ACCEPT
#DNS
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 53 -j ACCEPT
#NTP
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 123 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 123 -j ACCEPT
#LDAP
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 389 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 389 -j ACCEPT
#SMTP
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 25 -j ACCEPT
#Syslog
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 514 -j ACCEPT
#vCenter & ESX
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 902 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 903 -j ACCEPT
#Default Microsoft SQL Connections
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 1433 -j ACCEPT
#Default Oracle Port Connections
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 1521 -j ACCEPT
#AMQP Messaging (if Server exists)
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 5672 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m udp -p udp --dport 5672 -j ACCEPT
#ActiveMQ
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 61611 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW-m tcp -p tcp --dport 61616 -j ACCEPT
# End listing vCloud Director Ports Needed
COMMIT
# Completed on Tue Mar 26 15:52:56 2013
Service iptables restart 保存修改并生效
配置文件详解:
# Generated by iptables-save v1.4.7 on TueMar 26 15:52:56 2013
#注释说明
*filter
#使用filter表
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:RH-Firewall-1-INPUT - [0:0]
#上面四条内容定义了内建的INPUT、FORWAARD、ACCEPT链,还创建了一个名为RH-Firewall-1-INPUT 的新链
-A INPUT -j RH-Firewall-1-INPUT
#上面这条规则将添加到INPUT链上,所有发往INPUT链上的数据包将跳转到RH-Firewall-1 链上。
-A FORWARD -j RH-Firewall-1-INPUT
#上面这条规则将添加到FORWARD链上,所有发往FORWARD链上的数据包将跳转到RH-Firewall-1 链上。
-A OUTPUT -j RH-Firewall-1-INPUT
#上面这条规则将添加到OUTPUT链上,所有发往OUTPUT链上的数据包将跳转到RH-Firewall-1 链上。
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
#上面这条规则将被添加到RH-Firewall-1-input链,它可以匹配所有的数据包,其中流入接口(-i)是一个环路接口(lo),匹配这条规则的数据包将全部通过(ACCEPT),不会再使用别的规则来和它们进行比较。
-A RH-Firewall-1-INPUT -p icmp --icmp-typeany -j ACCEPT
#上面这条规则是允许所有的icmp包,-p后是协议如:icmp、tcp、udp,端口是在-p后面--sport源端口,--dport目的端口,-j 指定数据包发送目的地址后的动作如:ACCEPT、DROP、QUEUE等。
-A RH-Firewall-1-INPUT -m state --stateESTABLISHED,RELATED,NEW -j ACCEPT
#-m state --state ESTABLISHED,RELATED,NEW这个条件表示所有处于ESTABLISHED,RELATED或者NEW状态的包,策略都是接受的。
ESTABLISHED:已经联机成功的联机状态。
RELATED:表示这个封包是与主机发送出去的封包有关,可能是响应封包或者是联机成功之后的传送封包。
NEW:想要新建立联机的封包状态。
-A RH-Firewall-1-INPUT -m state --state NEW
#-A RH-Firewall-1-INPUT -m state --state NEW这个条件是当connection的状态为初始连接(NEW)时候的策略。
其他策略见注释说明。
安装和配置vCloudDirector数据库
数据库使用windows平台的SQLServer
Windows防火墙入站规则:
Oracle Database EM Port TCP 1158
Oacle Database Listener Port TCP 1521
SQL Server Database Port TCP 1433
Oracle
1创建数据库实例
Create Tablespace CLOUD_DATA datafile'C:\Oracle\oradata\vCloud\cloud_data01.dbf' size 1000M autoextend on;
Create Tablespace CLOUD_INDX datafile'C:\Oracle\oradata\vCloud\cloud_indx01.dbf' size 500M autoextend on;
2创建vCloud Director数据库用户帐户
Create user vcloud identified by vcloudpassdefault tablespace CLOUD_DATA;
3 配置数据库连接、进程和事务参数。
必须对数据库进行配置,使其至少允许每个 vCloud Director 单元中存在 75 个连接,并且大约有 50 个连接供 Oracle 本身使用。您可以根据连接数量获取其他配置参数的值,其中 C 表示 vCloud Director 群集中的单元数。
4 创建 vCloud Director 数据库用户帐户。
请勿将 Oracle 系统帐户用作 vCloud Director 数据库用户帐户。必须为此创建一个专用用户帐户。将以下系统特权授予此帐户:
■CONNECT
■RESOURCE
■CREATE TRIGGER
■CREATE TYPE
■CREATE VIEW
■CREATE MATERIALIZED VIEW
■CREATE PROCEDURE
■CREATE SEQUENCE
SQL Server
1 创建数据库实例
USE [master]
GO
CREATE DATABASE [vcloud] ON PRIMARY
(NAME = N'vcloud', FILENAME =N'C:\vcloud.mdf', SIZE = 100MB, FILEGROWTH = 10% )
LOG ON
(NAME = N'vcdb_log', FILENAME = N'C:\vcloud.ldf',SIZE = 1MB, FILEGROWTH = 10%)
COLLATE Latin1_General_CS_AS
GO
2 设置事务隔离级别。
以下脚本将数据库隔离级别设置为 READ_COMMITTED_SNAPSHOT。
USE [vcloud]
GO
ALTER DATABASE [vcloud] SET SINGLE_USERWITH ROLLBACK IMMEDIATE;
ALTER DATABASE [vcloud] SET ALLOW_SNAPSHOT_ISOLATIONON;
ALTER DATABASE [vcloud] SETREAD_COMMITTED_SNAPSHOT ON WITH NO_WAIT;
ALTER DATABASE [vcloud] SET MULTI_USER;
GO
3 创建 vCloud Director 数据库用户帐户。
以下脚本将创建数据库用户名 vcloud 和密码 vcloudpass。
USE [vcloud]
GO
CREATE LOGIN [vcloud] WITH PASSWORD ='vcloudpass', DEFAULT_DATABASE =[vcloud],
DEFAULT_LANGUAGE =[us_english],CHECK_POLICY=OFF
GO
CREATE USER [vcloud] for LOGIN [vcloud]
GO
4 将权限分配给 vCloudDirector 数据库用户帐户。
以下脚本将 db_owner 角色分配给在步骤 5 中创建的数据库用户。
USE [vcloud]
GO
sp_addrolemember [db_owner], [vcloud]
GO
转载于:https://blog.51cto.com/magiccloud/1438768
扫一扫
179
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
