部署 HA 冗余解决方案时,我们使用 Keepalived 和 VRRP 流量以及虚拟 IP。到目前为止,我使用以下命令启用了 VRRP 流量(有效):
sudo firewall-cmd --zone=dmz --add-rich-rule='rule protocol value="vrrp" accept' –permanent
但是客户端询问使用哪个端口来启用流量。据我了解,VRRP 使用 ICMP 消息通知 Keepalived 处于活动状态。
如果我要求允许 ICMP 流量以保持 VRRP/Keepalived 正常工作,这是否可以作为一个令人满意的条件?
答案1
不,VRRP 不是 ICMP 的一部分,反之亦然——它是一种具有自己的数据包格式的独立协议。
然而,尽管 VRRP 运行在 IP 之上,但它不使用传输协议,也没有“端口”。相反,它运行旁边TCP/UDP/ICMP,IP协议号为112。