防火墙配置

注意事项

• 如果某IP地址可以访问https模式登录的管理平台，则即使此IP地址不在“VNC Web服务”的白名单中，仍然可以访问到该服务。

• 混合管理的E073x和E076x版本的主机无法使用主机防火墙功能。

• 主机防火墙仅对进入主机的流量进行识别、限制。

• 删除主机后，不会保留该主机中的防火墙配置。并且，在主机的xConsole控制台更改IP地址后必须重启主机，以刷新主机中的防火墙配置，否则会导致原先配置的IP地址存在于所有端口的白名单中。

• 如果搭建了双机热备，需要保证仲裁节点的22端口与其它节点连通。并且，在“双机热备管理”处配置主机防火墙时，仅对主备管理节点生效，不会对仲裁节点生效。

• 搭建了双机热备后，在进行了单机故障恢复后，需要在“双机热备管理”处的防火墙配置对话框中单击<同步>，同步防火墙配置。

• 开启主机防火墙后，白名单设置不当可能会对某些功能产生影响，具体请参考下表。

  功能	说明	操作建议
  双机热备	配置时需要仲裁与主备节点通，在搭建双机时，如主备节点上设置了关于SSH服务的防火墙，则需要放开限制，并必须保持仲裁节点与主备之间的SSH server相通。	关闭主机防火墙后再搭建双机热备。
  大云/第三方对接	如果需要使用CloudOS等大云产品，或需要对接爱数备份，金融数安，奇安信，亚信等第三方软件，则需要允许相关的IP地址访问例如http服务等相关的端口。	所有端口均需要放开对大云/第三方相关IP地址的限制。
  增加外部云	在增加CAS或Usphere作为外部云站点时，需要通过8080或8443端口。	放开8080和8443端口。
  裸金属管理	从管理主机拷贝文件到裸金属服务器时需要使用SCP服务。	放开22端口。
  站点容灾	站点容灾需要使用保护站点和恢复站点的8080、8443端口。	放开8080和8443端口。
  防病毒	同“大云/第三方对接”。	同“大云/第三方对接”。
  云彩虹	云彩虹纳管站点和迁移虚拟机需要使用8080、8443、22端口。	放开8080、8443、22端口。
  CVM迁移	CVM迁移需要使用8080、8443、22端口。	放开8080、8443、22端口。
  日志转存	需要使用目的端的22端口。	放开22端口。
  备份管理-备份到远端服务器	需要使用目的端的22端口。	放开22端口。

查看主机防火墙配置

1. 选择顶部“计算”页签，单击左侧导航树[资源导航/云资源/主机池/<主机名>]或者[资源导航/云资源/主机池/集群/<主机名>]菜单项，进入主机概要信息页面。

2. 选择“高级设置”页签，进入主机的启动项配置页面。

3. 选择[防火墙配置]菜单项，进入主机的防火墙配置页面，可以查看现有的主机防火墙策略。

修改主机防火墙配置

1. 选择顶部“计算”页签，单击左侧导航树[资源导航/云资源/主机池/<主机名>]或者[资源导航/云资源/主机池/集群/<主机名>]菜单项，进入主机概要信息页面。

2. 选择“高级设置”页签，进入主机的启动项配置页面。

3. 选择[防火墙配置]菜单项，进入主机的防火墙配置页面。

4. 选择需要配置防火墙策略的端口，单击<修改>按钮，弹出相应服务配置IP地址的对话框。

5. 勾选“允许从任何IP地址链接”选项，表示放行所有IP地址；去勾选“允许从任何IP地址链接”选项后，可以在下方输入需要访问此服务的IP地址，可输入多个IP地址，输入以英文逗号分隔的IP地址，如：1.1.1.1,12.3.0.0/16,1:1:1:1:1:1:1:1/64。

同步主机防火墙配置

1. 选择顶部“计算”页签，单击左侧导航树[资源导航/云资源/主机池/<主机名>]或者[资源导航/云资源/主机池/集群/<主机名>]菜单项，进入主机概要信息页面。

2. 选择“高级设置”页签，进入主机的启动项配置页面。

3. 选择[防火墙配置]菜单项，进入主机的防火墙配置页面。

4. 如果需要同步防火墙配置，则页面左上角会出现<同步>按钮，此时请单击该按钮，同步防火墙配置信息。