连接要求
本文概述了由 XenServer 组件使用且必须视为网络连接体系结构的一部分的域和常用端口,尤其是在通信流量遍历必须在其中打开端口或者将域添加到允许列表中以确保通信流动的网络组件(例如防火墙或代理服务器)时。
XenServer 产品组件访问的外部域
根据您的部署和要求,配置防火墙以使这些 XenServer 组件能够访问列出的域。
XenServer 主机
您的 XenServer 主机将访问以下域:
| 域 | 端口 | 方向 | 详细信息 |
|---|---|---|---|
repo.ops.xenserver.com |
443 | 出站 | XenServer 池协调器从此位置下载 XenServer 8 的可用更新。有关详细信息,请参阅更新。 |
repo-src.ops.xenserver.com |
443 | 出站 | XenServer 池协调器从此位置下载 XenServer 8 更新的源文件。有关详细信息,请参阅更新。 |
telemetry.ops.xenserver.com |
443 | 出站 | XenServer 池协调器收集遥测数据并定期将其上载到此位置。有关详细信息,请参阅遥测。 |
配置 XenServer 池以接收更新时,可以配置代理服务器供池协调器用于下载更新。有关详细信息,请参阅为池配置更新。
XenCenter
XenCenter 管理控制台将访问以下域:
| 域 | 端口 | 方向 | 详细信息 |
|---|---|---|---|
updates.ops.xenserver.com |
443 | 出站 | XenCenter 会轮询此站点上的信息,以查看 XenCenter 和 XenServer 8 主机是否有可用更新。有关详细信息,请参阅更新您的 XenServer 主机 |
citrix.com 和子域 |
443 | 出站 | 如果您使用 XenCenter 管理 Citrix Hypervisor 8.2 累积更新 1 的主机和池,XenCenter 将访问 citrix.com 域上的子域以接收通知并下载修补程序。有关详细信息,请参阅更新您的 Citrix Hypervisor 主机
|
可以配置 XenCenter 检查并下载更新时通过的代理服务器。有关详细信息,请参阅代理服务器。
Windows VM
如果已将 Windows VM 设置为接收 XenServer VM Tools 管理代理的更新,您的 Windows VM 将访问以下域:
| 域 | 端口 | 方向 | 详细信息 |
|---|---|---|---|
pvupdates.vmd.citrix.com |
443 | 出站 | 适用于 Windows 的 XenServer VM Tools 会轮询此站点上的信息,以查看管理代理是否有可用更新。 |
downloadns.citrix.com.edgesuite.net |
443 | 出站 | 适用于 Windows 的 XenServer VM Tools 从此位置下载管理代理的安装文件。 |
如果您不想让 Windows VM 访问这些域,则可以将管理代理更新重定向到内部 Web 服务器。有关详细信息,请参阅重定向管理代理更新。
XenServer 产品组件使用的通信端口
下表中列出的端口是 XenServer 组件使用的常用端口。并非所有端口都需要打开,具体取决于您的部署和要求。
| 源 | 目标 | 类型 | 端口 | 详细信息 |
|---|---|---|---|---|
| XenServer 主机 | XenServer 主机 | TCP | 80、443 | 资源池的成员之间使用管理 API 进行主机内通信 |
| Citrix 许可证服务器 | TCP | 27000 | 处理许可证请求的初始连接 | |
| TCP | 7279 | 许可证的签入/签出 | ||
| NTP 服务 | TCP、UDP | 123 | 时间同步 | |
| DNS 服务 | TCP、UDP | 53 | DNS 查询 | |
| 域控制器 | TCP、UDP | 389 | LDAP(用于 Active Directory 用户身份验证) | |
| TCP | 636 | 基于 SSL 的 LDAP (LDAPS) | ||
| 文件服务器(带 SMB 存储) | TCP、UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP、UDP | 445 | ISOStore:Microsoft-DS | ||
| SAN 控制器 | TCP | 3260 | iSCSI 存储 | |
| NAS 头/文件服务器 | TCP | 2049 | NFSv4 存储 | |
| TCP、UDP | 2049 | NFSv3 存储。TCP 为默认值 | ||
| TCP、UDP | 111 | NFSv3 存储 - 连接到 rpcbind | ||
| TCP、UDP | 动态 | NFSv3 存储 - 文件管理器选择的一组动态端口 | ||
| Syslog | UDP | 514 | 将数据发送到中心位置进行整理 | |
| 群集 | TCP | 8892、8896、21064 | 群集池中的所有池成员之间的通信 | |
| UDP | 5404、5405 | |||
| XenCenter | XenServer 主机 | TCP | 22 | SSH |
| TCP | 443 | 使用管理 API 进行管理 | ||
| 虚拟机 | TCP | 5900 | 适用于 Linux VM 的 VNC | |
| TCP | 3389 | 适用于 Windows VM 的 RDP | ||
| Workload Balancing 虚拟设备 | XenServer 主机 | TCP | 8012 | 默认情况下,Workload Balancing 服务器使用 8012。但是,如果您在 Workload Balancing 设置过程中指定了其他端口,请确保该端口允许通信。 |
| 其他客户端 | XenServer 主机 | TCP | 80、443 | 任何使用管理 API 与 XenServer 主机通信的客户端 |
XenServer 可与各种 Citrix 产品互操作。有关这些产品使用的端口的详细信息,请参阅 Citrix 使用的通信端口。
注意:
为了提高安全性,您可以关闭 XenServer 主机管理接口上的 TCP 端口 80。有关如何关闭端口 80 的详细信息,请参阅限制使用端口 80。
如果使用 FQDN 而非 IP 作为资源,请确保其可解析。
Active Directory 集成
如果您在环境中使用 Active Directory,请确保对出站流量打开以下防火墙端口,以便 XenServer 访问域控制器。
| 端口 | 协议 | 使用 |
|---|---|---|
| 53 | UDP/TCP | DNS |
| 88 | UDP/TCP | Kerberos 5 |
| 123 | UDP | NTP |
| 137 | UDP | NetBIOS 名称服务 |
| 139 | TCP | NetBIOS 会话 (SMB) |
| 389 | UDP/TCP | LDAP |
| 445 | TCP | TCP 上的 SMB |
| 464 | UDP/TCP | 计算机密码更改 |
| 636 | UDP/TCP | LDAP over SSL |
| 3268 | TCP | 全局目录搜索 |
有关详细信息,请参阅 Active Directory 集成
Citrix Provisioning Services
如果您在环境中使用 Citrix Provisioning Services,请确保可以访问以下防火墙端口:
| 端口 | 协议 | 使用 |
|---|---|---|
| 6901、6902、6905 | UDP | Provisioning 服务器出站通信(发往目标设备的数据包) |
| 6910 | UDP | 通过 Citrix Provisioning Services 登录目标设备 |
| 6901 | UDP | 可配置的目标设备端口。默认端口为 6901。 |
| 6910–6930 | UDP | 可配置的服务器端口范围。默认范围为 6910–6930。 |
有关详细信息,请参阅 Citrix Provisioning Services 和 Citrix 使用的通信端口。