業務LAN(兼管理LAN)やクラスタインタコネクト等のサブネット、セキュリティグループの作成を行います。
注意
クラスタシステムを複数作成する場合、以下のセキュリティグループは、クラスタシステムごとに作成してください。
業務LAN(兼管理LAN)用
クラスタインタコネクト用
Web-Based Admin View 用(クラスタノード側)
Web-Based Admin View 用(管理クライアント側)
クラスタシステムが業務LAN(兼管理LAN)で使用するサブネットと、クラスタインタコネクトが使用するサブネットを以下のような設定値で作成してください。
項目名 | 設定値 |
|---|---|
DHCPによる自動割当ての有無 | true (デフォルト) |
IPアドレス割当てプール | 各ノードに割り当てるIPアドレスの範囲(引継ぎIPアドレスは範囲から除外する) |
仮想サーバからK5 の各種エンドポイントに通信できるよう、仮想ルータを作成し、業務LAN(兼管理LAN)のサブネットに接続してください。
共通で使用するセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 169.254.169.254/32 | tcp | 80 | 80 |
egress | DNS サーバのIP アドレス | udp | 53 | 53 |
egress | NTP サーバのIP アドレス | udp | 123 | 123 |
業務LAN(兼管理LAN)用のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 指定せず | tcp | 443 | 443 |
ingress | 自セキュリティグループ | udp | 9382 | 9382 |
egress | 自セキュリティグループ | udp | 9382 | 9382 |
ingress | 自セキュリティグループ | udp | 9796 | 9796 |
egress | 自セキュリティグループ | udp | 9796 | 9796 |
ingress | 自セキュリティグループ | tcp | 9797 | 9797 |
egress | 自セキュリティグループ | tcp | 9797 | 9797 |
egress | 仮想ゲートウェイのIPアドレス | icmp | 指定せず | 指定せず |
ingress | 自セキュリティグループ | tcp | 3260 | 3260 |
egress | 自セキュリティグループ | tcp | 3260 | 3260 |
クラスタインタコネクト用のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 自セキュリティグループ | 123 | 指定せず | 指定せず |
ingress | 自セキュリティグループ | 123 | 指定せず | 指定せず |
Web-Based Admin View 用(クラスタノード側)のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
ingress | 自セキュリティグループ | tcp | 8081 | 8081 |
ingress | 自セキュリティグループ | tcp | 9798 | 9798 |
ingress | 自セキュリティグループ | tcp | 9799 | 9799 |
Web-Based Admin View 用(管理クライアント側)のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 自セキュリティグループ | tcp | 8081 | 8081 |
egress | 自セキュリティグループ | tcp | 9798 | 9798 |
egress | 自セキュリティグループ | tcp | 9799 | 9799 |
クラスタノードの導入・保守用のセキュリティグループを作成します。
クラスタノードへssh 接続するためのセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
ingress | 適宜指定 | tcp | 22 | 22 |
注意
yum コマンドを使用する場合、以下のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | リポジトリサーバのIP アドレス | tcp | 80 | 80 |
管理クライアントの導入・保守用のセキュリティグループを作成します。
管理クライアントへリモートデスクトップ接続するためのセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
ingress | 適宜指定 | tcp | 3389 | 3389 |
ファイアーウォールサービスを使用する場合は、ファイアーウォールルールに以下を追加してください。
プロトコル | 送信元IPアドレス | 宛先IPアドレス | 宛先ポート番号 | アクション |
|---|---|---|---|---|
tcp | 業務LAN(兼管理LAN)のサブネット | 指定せず | 443 | Allow |
udp | DNSサーバのIPアドレス | 業務LAN(兼管理LAN)のサブネット | 53 | Allow |
udp | NTPサーバのIPアドレス | 業務LAN(兼管理LAN)のサブネット | 123 | Allow |
注意
外部ネットワークからssh 接続する場合、またはリモートデスクトップ接続する場合、必要に応じてそれらを許可する設定を追加してください。
yum コマンドを使用する場合、以下の設定を追加する必要があります。セキュリティを高めたい場合、本設定は必要に応じて、追加/削除してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 業務LAN(兼管理LAN)のサブネット | リポジトリサーバへのIP アドレス | 80 | Allow |
