Firewallを使用している場合、クラスタが正常に動作しないことがあるため、以下のどちらかの設定を行ってください。
PRIMECLUSTERが使用する通信インタフェースを許可する。
PRIMECLUSTERが使用するポート番号を許可する。
ここでは、iptablesまたはip6tablesでFirewallを設定する場合の設定例を記載します。
実際の設定は、セキュリティポリシーに合った方法で行ってください。
参照
iptablesの詳細については、iptables(8)コマンドのmanマニュアルなどを参照してください。
ip6tablesの詳細については、ip6tables(8)コマンドのmanマニュアルなどを参照してください。
PRIMECLUSTERが使用する通信インタフェースを許可する場合
PRIMECLUSTERでは、管理LANとクラスタインタコネクトで通信インタフェースを使用します。両方の通信インタフェースを許可する設定を行ってください。
以下は、クラスタインタコネクトの通信インタフェースである“cip0”の送受信を許可する設定例です。
形式) -A INPUT -i <入力インタフェース> -j ACCEPT -A OUTPUT -o <出力インタフェース> -j ACCEPT
例) -A INPUT -i cip0 -j ACCEPT
-A OUTPUT -o cip0 -j ACCEPTPRIMECLUSTERが使用するポート番号を許可する場合
“付録H PRIMECLUSTERの起動スクリプト/起動デーモンとポート番号”を参照し、PRIMECLUSTERが使用するすべてのポート番号の通信を許可してください。
以下は、自ノードと他ノード間で、クラスタリソース管理機構が使用するポート番号の一部の通信を許可する設定例です。
形式) -A <INPUT/OUTPUT> -p <tcp/udp> -m <tcp/udp> --dport <送信先ポート番号> -j ACCEPT -A <INPUT/OUTPUT> -p <tcp/udp> -m <tcp/udp> --sport <送信元ポート番号> -j ACCEPT
例) -A INPUT -p tcp -m tcp --dport 9383 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 9383 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 9383 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 9383 -j ACCEPT注意
iptablesの設定を変更した場合は、iptablesサービスの再起動ではなく、以下のいずれかを行ってください。
クラスタノードの再起動
iptables-restoreによる反映
ip6tablesの設定を変更した場合は、ip6tablesサービスの再起動ではなく、以下のいずれかを行ってください。
クラスタノードの再起動
ip6tables-restoreによる反映
iptablesまたはip6tablesでstateモジュールを使用している場合、stateモジュールの設定より前に、PRIMECLUSTERの通信を許可する設定を行ってください。
以下の例では、stateモジュール設定の前に、クラスタインタコネクトの通信を許可しています。
例) -A INPUT -i cip0 -j ACCEPT
-A OUTPUT -o cip0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP