Jboss Infinispan jgroups防火墙端口

使用JGroups和Infinispan之类的组件时，我需要在防火墙中打开哪些端口

我的JGroups配置文件是：

    <config xmlns="urn:org:jgroups"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:org:jgroups http://www.jgroups.org/schema/JGroups-3.4.xsd">
<UDP
         mcast_addr="${test.jgroups.udp.mcast_addr:239.255.0.1}"
         mcast_port="${test.jgroups.udp.mcast_port:46655}"
         bind_addr="${test.jgroups.udp.bind_addr:match-interface:eth0}"
         bind_port="${test.jgroups.bind.port:46656}"
         port_range="${test.jgroups.bind.port.range:20}"
         tos="8"
         ucast_recv_buf_size="25M"
         ucast_send_buf_size="1M"
         mcast_recv_buf_size="25M"
         mcast_send_buf_size="1M"

         loopback="true"
         max_bundle_size="64k"
         ip_ttl="${test.jgroups.udp.ip_ttl:2}"
         enable_diagnostics="false"
         bundler_type="old"

         thread_naming_pattern="pl"

         thread_pool.enabled="true"
         thread_pool.min_threads="3"
         thread_pool.max_threads="10"
         thread_pool.keep_alive_time="60000"
         thread_pool.queue_enabled="true"
         thread_pool.queue_max_size="10000"
         thread_pool.rejection_policy="Discard"
         oob_thread_pool.enabled="true"
         oob_thread_pool.min_threads="2"
         oob_thread_pool.max_threads="4"
         oob_thread_pool.keep_alive_time="60000"
         oob_thread_pool.queue_enabled="false"
         oob_thread_pool.queue_max_size="100"
         oob_thread_pool.rejection_policy="Discard"

         internal_thread_pool.enabled="true"
         internal_thread_pool.min_threads="1"
         internal_thread_pool.max_threads="4"
         internal_thread_pool.keep_alive_time="60000"
         internal_thread_pool.queue_enabled="true"
         internal_thread_pool.queue_max_size="10000"
         internal_thread_pool.rejection_policy="Discard"
         />

    <PING timeout="3000" num_initial_members="3"/>
    <MERGE2 max_interval="30000" min_interval="10000"/>
    <FD_SOCK bind_addr="${test.jgroups.udp.bind_addr:match-interface:eth0}" start_port="${test.jgroups.fd.sock.start.port:9780}" port_range="${test.jgroups.fd.sock.port.range:10}" />
    <FD_ALL timeout="15000" interval="3000" />
    <VERIFY_SUSPECT timeout="1500" bind_addr="${test.jgroups.udp.bind_addr:match-interface:eth0}"/>

    <pbcast.NAKACK2
        xmit_interval="1000"
        xmit_table_num_rows="100"
        xmit_table_msgs_per_row="10000"
        xmit_table_max_compaction_time="10000"
        max_msg_batch_size="100"/>
    <UNICAST3
        xmit_interval="500"
        xmit_table_num_rows="20"
        xmit_table_msgs_per_row="10000"
        xmit_table_max_compaction_time="10000"
        max_msg_batch_size="100"
        conn_expiry_timeout="0"/>

   <pbcast.STABLE stability_delay="500" desired_avg_gossip="5000" max_bytes="1m"/>
   <pbcast.GMS print_local_addr="false" join_timeout="3000" view_bundling="true"/>
   <tom.TOA/> <!-- the TOA is only needed for total order transactions-->

   <UFC max_credits="2m" min_threshold="0.40"/>
   <MFC max_credits="2m" min_threshold="0.40"/>
   <FRAG2 frag_size="30k"  />
   <RSVP timeout="60000" resend_interval="500" ack_on_delivery="false" />
</config>

但在运行infinispan嵌入式缓存几分钟后，我还是得到了

2014-11-05 18:21:38.025 DEBUG org.jgroups.protocols.FD_ALL - haven't received a heartbeat from <hostname>-47289 for 15960 ms, adding it to suspect list

2014-11-05 18:21:38.025 DEBUG org.jgroups.protocols.FD_ALL-已15960毫秒未收到来自-47289的心跳信号，将其添加到可疑列表中

如果我关闭iptables，它可以正常工作

---

提前感谢

您是如何设置iptables规则的？我用过（在Fedora 18上）

---

这对我来说很有效，在两台主机之间。

您是如何设置iptables规则的？我用过（在Fedora 18上）

---

这对我来说很有效，在两台主机之间。

模式1是什么？我想是吧？不是负载平衡对吗？ 也许您需要使用iptables-i INTF，其中INTF是eth0或eth1？我不是iptables方面的专家，但您可能需要定义逻辑名称，例如iptables-I bond0？

---

我建议使用wireshark查看接收到哪些数据包和/或在两个框上启用iptables中的丢弃调试。

模式1是什么？我想是吧？不是负载平衡对吗？ 也许您需要使用iptables-i INTF，其中INTF是eth0或eth1？我不是iptables方面的专家，但您可能需要定义逻辑名称，例如iptables-I bond0？ 我建议使用wireshark查看接收到哪些数据包和/或在两个框上启用iptables中的丢弃调试

在我的环境中，我在同一机箱上有两个具有Ip连接的刀片服务器 （模式1已配置）当两个刀片服务器上的eth0接口都处于活动状态时 一切都很好。当eth0在一个刀片服务器和eth1上处于活动状态时 在其他群集上处于活动状态，然后创建群集，并在一段时间后 开始抛出“尚未接收到心跳”异常和无进程 即使长时间离开群集（小时）

JGroups中有一个bug可能与您的问题有关：

解决方法：切换到TCP

另见：

在我的环境中，我在同一机箱上有两个具有Ip连接的刀片服务器 （模式1已配置）当两个刀片服务器上的eth0接口都处于活动状态时 一切都很好。当eth0在一个刀片服务器和eth1上处于活动状态时 在其他群集上处于活动状态，然后创建群集，并在一段时间后 开始抛出“尚未接收到心跳”异常和无进程 即使长时间离开群集（小时）

JGroups中有一个bug可能与您的问题有关：

解决方法：切换到TCP

另见：

---

发生这种情况的原因是交换机丢弃UDP数据包，因为交换机上为UDP数据包定义了限制

发生这种情况的原因是交换机丢弃UDP数据包，因为交换机上为UDP数据包定义了限制

谢谢你的回复，我有相同的端口打开，你上面指定的，我让他们一直打开，它仍然不工作。在我的环境中，我在同一机箱上有两个刀片服务器，具有Ip绑定（配置了模式1），当两个刀片服务器上的eth0接口都处于活动状态时，一切都会正常工作。当eth0在一个刀片服务器上处于活动状态，而eth1在另一个刀片服务器上处于活动状态时，则会创建群集，并在一段时间后开始引发“未接收到心跳”异常，并且即使在很长一段时间（数小时）内也没有进程离开群集感谢您的回复，我打开了您上面指定的相同端口，我一直都在打开它们，但它仍然不工作。在我的环境中，我在同一机箱上有两个刀片服务器，具有Ip绑定（配置了模式1），当两个刀片服务器上的eth0接口都处于活动状态时，一切都会正常工作。当eth0在一个刀片服务器上处于活动状态，而eth1在另一个刀片服务器上处于活动状态时，则会创建群集，并在一段时间后开始引发“未接收到心跳”异常，并且即使长时间（小时）也没有进程离开群集模式1=故障转移。发现我们正在阻止IGMP数据包。更新防火墙以允许IGMP。顺便说一下，使用RHEL。但是，我们仍然可以看到来自FD_的心跳消息，如上所述，但现在仅在加载期间。消息中的时间每2秒增加一次，但节点似乎没有离开群集。无论如何，我们都没有收到关于它离开集群的消息。如果根据上面的配置，在数分钟内看到节点的心跳消息，是否应该将其从集群中删除？重新启动节点后，它将无法加入群集。它只与自身形成单独的集群。模式1=故障转移。发现我们正在阻止IGMP数据包。更新防火墙以允许IGMP。顺便说一下，使用RHEL。但是，我们仍然可以看到来自FD_的心跳消息，如上所述，但现在仅在加载期间。消息中的时间每2秒增加一次，但节点似乎没有离开群集。无论如何，我们都没有收到关于它离开集群的消息。如果根据上面的配置，在数分钟内看到节点的心跳消息，是否应该将其从集群中删除？重新启动节点后，它将无法加入群集。它只与自身形成独立的集群。

2014-11-05 18:21:38.025 DEBUG org.jgroups.protocols.FD_ALL - haven't received a heartbeat from <hostname>-47289 for 15960 ms, adding it to suspect list

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT  -p udp --dport 46655:46676  -j ACCEPT
iptables -A OUTPUT -p udp --dport 46655:46676  -j ACCEPT
iptables -A INPUT  -p tcp --dport 9780:9790    -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9780:9790    -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP