Systemwalker Network Managerの運用管理サーバの導入準備について説明します。
以下の流れで導入準備を行う必要があります。
2.2.2.1 ホスト名、IPアドレスを登録する |
Systemwalker Network Managerの運用管理サーバのホスト登録について説明します。
基本構成の場合は、自サーバ名称とIPアドレスを/etc/hostsファイルに設定して下さい。分散構成の場合、運用管理サーバと運用管理サーバ(エージェント)それぞれで/etc/hostsファイルを変更する必要があります。以下に分散構成で運用時の/etc/hostsファイル修正方法について説明します。
運用管理サーバの/etc/hostsファイル修正方法
/etc/hostsファイルに、自サーバおよび運用管理サーバ(エージェント)のホスト名とIPアドレスを設定して下さい。運用管理サーバ(エージェント)が複数ある場合は、すべての運用管理サーバ(エージェント)のホスト名とIPアドレスを追加して下さい。
運用管理サーバ(エージェント)の/etc/hostsファイル修正方法
/etc/hostsファイルに、自サーバおよび運用管理サーバのホスト名とIPアドレスを設定して下さい。
Systemwalker Network Managerの運用管理サーバのネットマスク設定について説明します。
すべての運用管理サーバのネットマスク値が正しく設定されていることを確認して下さい。設定されていない場合は、正しい値を追加して下さい。
Systemwalker Network Managerの運用管理サーバのシステムパラメタ設定について説明します。
Linuxの場合
2.2.1.6 システムパラメタの設計で設計したシステムパラメタの値を/etc/sysctl.confファイルに設定します。また、/etc/security/limits.confファイルも設定します。以下の手順で設定して下さい。
1. 運用管理サーバのコンソール上で、スーパーユーザでログインして下さい。
2. /etc/sysctl.confファイルと/etc/security/limits.confを修正します。
/etc/sysctl.confファイルに設定するシステムパラメタの編集例を示します。
kernel.shmmax = 59199197 |
/etc/security/limits.confの編集例を示します。
vvsrv hard nproc 8192 |
3. システムパラメタを有効にするには、運用管理サーバを再起動する必要があります。以下のコマンドを実行して下さい。
# /sbin/shutdown -r now |
Linux環境が以下の設定になっていることを確認します。
ファイアウォールの設定
アプリケーションの追加
注意
本作業は運用管理サーバとコンソール接続された端末で作業を行って下さい。
Linuxでは、標準インストール時にOSのファイアウォール機能が有効になっているため、そのままの設定ではSystemwalker Network Managerの機能が使用できません。LinuxサーバにSystemwalker Network Managerをインストールする場合は、以下のどちらかの対応が必要です。
ファイアウォール機能を無効にする
ファイアウォール機能に対して必要な通信を許可する
注意
「ファイアウォール機能に対して必要な通信を許可する」設定での運用は、基本構成の運用形態のみ有効です。分散構成の場合には、運用管理サーバおよび運用管理サーバ(エージェント)をすべて「ファイアウォール機能を無効にする」に設定して下さい。
以下に説明するファイアウォールの設定手順は、ノードから入ってくるパケットをINPUTチェインで、ノードから出て行くパケットをOUTPUTチェインでのみ制御している場合の設定例です。Linuxサーバのファイアウォール機能の詳細はLinuxのマニュアルを参照して下さい。
ファイアウォール機能を無効にする設定手順
1. root権限で運用管理サーバにログインします。
2. 現在のファイアウォールの設定を消去します。
# /sbin/iptables -F |
3. すべての送受信を許可します。
# /sbin/iptables -P INPUT ACCEPT |
4. 設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。
# /etc/init.d/iptables save |
ファイアウォール機能に対して必要な通信を許可する手順
ファイアウォール機能を利用して、必要な通信だけを許可する場合は、以下の設定を行います。
1. 自サーバ内で使用する通信を許可します。
# /sbin/iptables -A INPUT -i lo -j ACCEPT |
2. ICMP通信を許可します。
# /sbin/iptables -A INPUT -p icmp -j ACCEPT |
3. 接続済の通信を許可します。
運用管理サーバに接続してきたコンピュータに対して、同じ経路を使用して応答できるようにします。
# /sbin/iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT |
4. udp通信について、接続済の通信を許可します。
# /sbin/iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT |
5. 特定の通信を許可します。
2.2.1.7 サービスポートの設計を参照の上、必要な通信を許可して下さい。
注意
送信、受信ともにすべて、--sportオプションではなく、--dportオプションを指定して設定します。
利用方向が「サーバから出る方向のみ」の場合は送信ポートの通信を許可する操作を行って下さい。
利用方向が「サーバに入る方向のみ」の場合は受信ポートの通信を許可する操作を行って下さい。
利用方向が「双方向」の場合は両方の操作を行って下さい。
80および49997のポート(運用管理クライアントの接続用)は「6.」の操作で設定して下さい。
送信ポートの通信を許可する場合
# /sbin/iptables -A OUTPUT -p プロトコル --dport ポート番号 -j ACCEPT |
受信ポートの通信を許可する場合
# /sbin/iptables -A INPUT -p プロトコル --dport ポート番号 -j ACCEPT |
6. 運用管理サーバで、運用管理クライアントからのtcp接続を許可します。
※すべての運用管理クライアントからの接続を許可して下さい。
# /sbin/iptables -A INPUT -p tcp -s 運用管理クライアントのIPアドレス --dport ポート番号 -j ACCEPT |
7. 設定の保存と反映を行います。設定はすぐにシステムに反映され、システム再起動後も有効になります。
# /etc/init.d/iptables save |
8. 設定が反映されていることを、以下のコマンドで確認します。
# /sbin/iptables -L |
2.2.1.7 サービスポートの設計を参照の上、必要な通信が許可されていることを確認して下さい。
注意
ファイアウォールをはじめて設定する場合、すべてのポートが許可されていることがあります。不必要なポートは遮断するように設定することを推奨します。
Systemwalker Network Manager運用管理サーバには、TelnetサーバとFTPサーバをインストールする必要があります。
上記パッケージがインストールされていない場合は、追加でインストールを行って下さい。
Linux特有の設定を有効にするには、運用管理サーバを再起動する必要があります。以下のコマンドを実行して下さい。
# /sbin/shutdown -r now |