CentOS7未關閉防火牆安裝部署CloudStack注意事項

CentOS7 部署安裝4.11.0 安裝記錄。firewalld未關閉。

假設 ssh 連接端口 是5555 而不是 22

準備兩臺主機。一個作爲管理節點，一個作爲計算節點

manager 管理節點
主機名： manager
主機IP： 192.168.199.91
ssh端口號： 5555
agent 計算節點
主機名： agent
主機IP： 192.168.199.92
ssh端口號： 5555

這裏ssh端口號爲什麼改成5555而不用原來的22。。。這個就當是爲了安全吧，其實按照我的做法，估計也安全不到那裏去。。。
修改方法， 編輯 /etc/ssh/sshd_config 文件

vim /etc/ssh/sshd_config

在 # Port 22 下添加一行

Port 5555

如果擔心 5555 設置後連接不上，可以先把 #Port 22註釋先去掉，如果可以使用5555正常連接，再重新註釋 重啓sshd，不然要是遠程連接可能連接不上了
重啓 sshd 服務

systemctl restart sshd

開啓防火牆firewalld 關於CentOS7防火牆使用，這裏不做過多贅述，因爲我本身也不是很瞭解。。。網上搜索吧

systemctl start firewalld

查看防火牆 開放的端口

firewall-cmd --list-port

查看防火牆 開放的 服務

firewall-cmd --list-service

個人。理解，服務和端口號基本一致，開放服務就是開放服務對應的端口號，服務可在 /usr/lib/firewalld/service/目錄查看
如mysql 服務 對應開放3306/tcp 端口

cat /usr/lib/firewalld/service/mysql.xml

開啓防火牆之後。。。5555端口默認是沒有開放的。因此要開放5555端口，才能使用ssh連接。
開放端口

firewall-cmd --add-port=5555/tcp --permanent

重新加載防火牆

firewall-cmd --reload

這裏開啓防火牆 因爲一般，防火牆是不會關閉的。。。實驗情況下關閉firewalld是爲了方便。。。

安裝必備軟件需開放的端口

nfs

yum -y install nfs-utils

LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
RQUOTAD_PORT=875
STATD_PORT=662
STATD_OUTGOING_PORT=2020

開放端口

firewall-cmd  --permanent    --add-port=111/tcp
firewall-cmd  --permanent    --add-port=111/udp
firewall-cmd  --permanent    --add-port=2049/tcp
firewall-cmd  --permanent    --add-port=2049/udp

firewall-cmd  --permanent    --add-port 32803/tcp
firewall-cmd  --permanent    --add-port 32769/udp

firewall-cmd  --permanent    --add-port 892/tcp
firewall-cmd  --permanent    --add-port 892/udp

firewall-cmd  --permanent    --add-port 875/tcp
firewall-cmd  --permanent    --add-port 875/udp

firewall-cmd  --permanent    --add-port 662/tcp
firewall-cmd  --permanent    --add-port 662/udp

firewall-cmd --reload

mysql 或 mariadb
開放服務

firewall-cmd --permanent    --add-service=mysql
firewall-cmd --reload

安裝CloudStack

一、管理節點

管理節點安裝完畢且 進行數據初始化 啓動後
查看 cloudstack-management安裝日誌

cat /var/log/cloudstack/management/setupManagement.log

可以看到 有類似這樣的語句

 iptables -I INPUT -p tcp -m tcp --dport 8080 -j ACCEPT

這是CentOS使用firewalld之前的防火牆工具iptable規則添加語句 。。。 可知需要開放 8080 8250 9090 端口 tcp，也有一些文檔建議開放 3922: 安全系統的安全通信端口
所以四個都開放

firewall-cmd --permanent --add-port=8250/tcp 
firewall-cmd --permanent --add-port=9090/tcp 
firewall-cmd --permanent --add-port=8080/tcp 
firewall-cmd --permanent --add-port=3922/tcp 
firewall-cmd --reload

二、計算節點
設置端口轉發。。。 22-5555，因爲管理節點添加主機時會使用ssh連接計算節點。使用默認端口是22，我沒找到哪裏修改默認端口的，因此使用 firewalld端口轉發功能 將22端口轉向5555（前面修改過，5555纔是ssh連接的端口）

firewall-cmd --query-masquerade # 檢查是否允許僞裝IP
firewall-cmd --add-masquerade # 允許防火牆僞裝IP
firewall-cmd --remove-masquerade# 禁止防火牆僞裝IP

先允許防火牆 僞裝IP

firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

設置端口轉發

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=5555 --permanent
firewall-cmd --reload

查看端口轉發

firewall-cmd --list-forward

現在 又可以使用 22 端口 進行ssh連接了。所以說我這種方式一點都不安全。。。22端口沒被防火牆阻止，是因爲firewalld默認開放了 ssh 服務，二ssh 服務 對應的 .xml 文件就是 22/tcp。我們沒修改，所以 22 端口是開放的。。。

添加主機完畢，也可以看到與管理節點 類似的計算節點安裝日誌。。。
cat /var/log/cloudstack/agent/setup.log

DEBUG:root:execute:iptables-save|grep INPUT|grep -w 22
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 22 -j ACCEPT
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 16509
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 5900:6100
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
DEBUG:root:execute:iptables-save|grep INPUT|grep -w 49152:49216
DEBUG:root:Failed to execute:
DEBUG:root:execute:iptables -I INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
DEBUG:root:execute:iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited
DEBUG:root:execute:iptables-save > /etc/sysconfig/iptables

所以 提前開放相關端口
這裏有一些問題。。。cloudstack4.11.3 如果計算節點如果開啓防火牆，那麼管理節點的日誌文件會有ERROR

2020-04-13 17:14:09,827 ERROR [o.a.c.c.p.RootCACustomTrustManager] (pool-29-thread-1:null) (logid:) Certificate ownership verification failed for client: 192.168.199.92
2020-04-13 17:14:09,828 ERROR [c.c.u.n.Link] (AgentManager-SSLHandshakeHandler-3:null) (logid:) SSL error caught during wrap data: General SSLEngine problem, for local address=/192.168.199.91:8250, remote address=/192.168.199.92:41120.

而且二級存儲一直爲零，兩個系統VM狀態也不對。。。不知是不是端口問題，4.11.0 是正常的。。。

firewall-cmd --add-port=16509/tcp --permanent
firewall-cmd --add-port=5900-6100/tcp --permanent
firewall-cmd --add-port=49152-49216/tcp --permanent
firewall-cmd --reload

如果不添加這些端口，查看控制檯時，可能報錯

Unable to start console session as connection is refused by the machine you are accessing

安裝nginx 當作鏡像倉庫

安裝NGINX當做 鏡像服務器後firewalld要開啓相應服務 沒有相應服務，那就開啓端口 443 和80

firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload

其他的與防火牆關閉時安裝部署一致

https://blog.csdn.net/dandanfengyun/article/details/105115895