TDengine 部署时建议禁用防火墙,对于有安全要求必须启用防火墙的的场景,可以只开放 TDengine 相关端口。
TDengine 端口列表
TDengine 不同版本使用的端口也不尽相同,以下是不同版本的端口列表。
TDengine 2.x
| 端口 | 协议 | 描述 |
|---|---|---|
| 6030-6035 | TCP/UDP | 集群通信端口 |
| 6041 | TCP | HTTP接口,2.4以上版本由taosAdapter组件提供 |
| 6043 | TCP | 监控端口,2.6以上版本支持 |
| 6060 | TCP | Web管理界面 |
TDengine 3.x
| 端口 | 协议 | 描述 |
|---|---|---|
| 6030 | TCP | 集群通信端口 |
| 6041 | TCP | HTTP接口,taosAdapter |
| 6043 | TCP | 监控端口,taosKeeper |
| 6060 | TCP | Web管理界面,taosExplorer |
| 6050/6055 | TCP | taosx端口 |
防火墙
不同的操作系统,防护墙软件不尽相同,对于常用的操作系统,防火墙软件如下:
| 操作系统 | 防火墙软件 |
|---|---|
| RedHat/CentOS | iptables/firewalld/nftables |
| Ubuntu | iptables/ufw |
注意
要防止不同的与防火墙相关的服务(firewalld、nftables 或 iptables)相互影响,请在主机上仅运行其中一个服务,并禁用其他服务。
iptables
早期版本防护墙,几乎所有 Linux 操作系统都支持,操作简单。
Red Hat Enterprise Linux 上的 iptables 工具使用 nf_tables 内核API而不是传统的后端。nf_tables API 提供了向后兼容性,以便使用 iptables 命令的脚本仍可在 Red Hat Enterprise Linux 上工作。对于新的防火墙脚本,红帽建议使用 nftables。
iptables -A INPUT -p tcp --dport 6030 -j ACCEPT --comment "taosd port"
iptables -A INPUT -p tcp --dport 6041 -j ACCEPT --comment "taosadapter port"
iptables -A INPUT -p tcp --dport 6043 -j ACCEPT --comment "taoskeeper port"
iptables -A INPUT -p tcp --dport 6060 -j ACCEPT --comment "taos-explorer port"
iptables -A INPUT -p tcp --dport 6050 -j ACCEPT --comment "taosx port"
iptables -A INPUT -p tcp --dport 6055 -j ACCEPT --comment "taosx port"
查看规则
iptables -nvL
ufw
Ubuntu 默认防火墙。UFW (Uncomplicated Firewall) 是 Linux 系统中一个简单易用的防火墙工具,它基于 iptables 构建,旨在简化防火墙配置过程,使用户能够更轻松地管理网络安全。
ufw allow 6030/tcp
ufw allow 6041/tcp
ufw allow 6043/tcp
ufw allow 6060/tcp
ufw allow 6050/tcp
ufw allow 6055/tcp
查看规则
ufw status
firewalld
RedHat 建议对简单的防火墙用例使用 firewalld 工具。此工具易于使用,并涵盖了这些场景的典型用例。
firewall-cmd --zone=public --add-port=6030/tcp
firewall-cmd --zone=public --add-port=6041/tcp
firewall-cmd --zone=public --add-port=6043/tcp
firewall-cmd --zone=public --add-port=6060/tcp
firewall-cmd --zone=public --add-port=6050/tcp
firewall-cmd --zone=public --add-port=6055/tcp
查看规则
firewall-cmd state
firewall-cmd --list-all
nftables
RedHat/CentOS 8/9 以上版本默认防火墙。RedHat 建议使用 nftables 工具来设置复杂和性能关键的防火墙,如用于整个网络。
nft add rule ip filter INPUT tcp dport 6030 accept
nft add rule ip filter INPUT tcp dport 6041 accept
nft add rule ip filter INPUT tcp dport 6043 accept
nft add rule ip filter INPUT tcp dport 6060 accept
nft add rule ip filter INPUT tcp dport 6050 accept
nft add rule ip filter INPUT tcp dport 6055 accept
查看规则
nft -a list table ip filter
)
