Развертывая избыточное решение HA, мы используем Keepalived с трафиком VRRP и виртуальным IP. До сих пор я включал трафик VRRP с помощью следующей команды (работает):
sudo firewall-cmd --zone=dmz --add-rich-rule='rule protocol value="vrrp" accept' –permanent
Однако клиент спрашивает, какой порт используется для включения трафика. Насколько я понимаю, VRRP использует сообщения ICMP для уведомления Keepalived alive.
Будет ли удовлетворительным, если я попрошу разрешить трафик ICMP для поддержания работы VRRP/Keepalived?
решение1
Нет, VRRP не является частью ICMP, как и наоборот — это отдельный протокол со своим собственным форматом пакетов.
Однако, хотя он работает поверх IP, VRRP не использует транспортный протокол и не имеет «портов». Вместо этого он работаетрядомTCP/UDP/ICMP и имеет номер IP-протокола 112.