業務LAN(兼管理LAN)やクラスタインタコネクト等のサブネット、セキュリティグループの作成を行います。
注意
クラスタシステムを複数作成する場合、以下のセキュリティグループは、クラスタシステムごとに作成してください。
業務LAN(兼管理LAN)用
クラスタインタコネクト用
Web-Based Admin View 用(クラスタノード側)
Web-Based Admin View 用(管理クライアント側)
クラスタシステムが業務LAN(兼管理LAN)で使用するサブネットと、クラスタインタコネクトが使用するサブネットを以下のような設定値で作成してください。
項目名 | 設定値 |
|---|---|
DHCPによる自動割当ての有無 | true (デフォルト) |
IPアドレス割当てプール | 各ノードに割り当てるIPアドレスの範囲(引継ぎIPアドレスは範囲から除外する) |
仮想サーバからFJcloud-O の各種エンドポイントに通信できるよう、仮想ルータを作成し、業務LAN(兼管理LAN)のサブネットに接続してください。
共通で使用するセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 169.254.169.254/32(*1) | tcp | 80 | 80 |
egress | DNS サーバのIP アドレス | udp | 53 | 53 |
egress | DNS サーバのIP アドレス | tcp | 53 | 53 |
egress | NTP サーバのIP アドレス | udp | 123 | 123 |
(*1) 仮想サーバがクラウド側の情報取得等に利用するIPアドレスです。(クラスタの動作とは関係ありません)
業務LAN(兼管理LAN)用のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egresss (*1) | 指定せず | tcp | 443 | 443 |
ingress | 自セキュリティグループ | udp | 9382 | 9382 |
egress | 自セキュリティグループ | udp | 9382 | 9382 |
ingress | 自セキュリティグループ | udp | 9796 | 9796 |
egress | 自セキュリティグループ | udp | 9796 | 9796 |
ingress | 自セキュリティグループ | tcp | 9797 | 9797 |
egress | 自セキュリティグループ | tcp | 9797 | 9797 |
egress | 仮想ゲートウェイのIPアドレス | icmp | 指定せず | 指定せず |
ingresss (*2) | 自セキュリティグループ | tcp | 3260 | 3260 |
egress (*2) | 自セキュリティグループ | tcp | 3260 | 3260 |
ingress | 自セキュリティグループ | icmp | 指定せず | 指定せず |
egress | 自セキュリティグループ | icmp | 指定せず | 指定せず |
(*1) シングルノードクラスタの場合は、不要です。
(*2) GDSのサーバ間ミラーリングを使用しない場合は、不要です。
クラスタインタコネクト用のセキュリティグループを以下のような設定値で作成してください。
シングルノードクラスタの場合は、不要です。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 自セキュリティグループ | 123(*1) | 指定せず | 指定せず |
ingress | 自セキュリティグループ | 123(*1) | 指定せず | 指定せず |
(*1) TCP/UDP/ICMP以外のプロトコルを使用します。その他のプロトコルとして上記の数値を記入してください。
Web-Based Admin View 用(クラスタノード側)のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
ingress | 自セキュリティグループ | tcp | 8081 | 8081 |
ingress | 自セキュリティグループ | tcp | 9798 | 9798 |
ingress | 自セキュリティグループ | tcp | 9799 | 9799 |
Web-Based Admin View 用(管理クライアント側)のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | 自セキュリティグループ | tcp | 8081 | 8081 |
egress | 自セキュリティグループ | tcp | 9798 | 9798 |
egress | 自セキュリティグループ | tcp | 9799 | 9799 |
クラスタノードの導入・保守用のセキュリティグループを作成します。
クラスタノードへssh 接続するためのセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
ingress | 適宜指定 | tcp | 22 | 22 |
注意
yum コマンドを使用する場合、以下のセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
egress | リポジトリサーバのIP アドレス | tcp | 80 | 80 |
egress | リポジトリサーバのIP アドレス | tcp | 443 | 443 |
管理クライアントの導入・保守用のセキュリティグループを作成します。
管理クライアントへリモートデスクトップ接続するためのセキュリティグループを以下のような設定値で作成してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | 終了ポート番号 |
|---|---|---|---|---|
ingress | 適宜指定 | tcp | 3389 | 3389 |
ファイアウォールサービスを使用する場合は、ファイアウォールルールに以下を追加してください。
プロトコル | 送信元IPアドレス | 宛先IPアドレス | 宛先ポート番号 | アクション |
|---|---|---|---|---|
tcp(*1) | 業務LAN(兼管理LAN)のサブネット | 指定せず | 443 | Allow |
udp | 業務LAN(兼管理LAN)のサブネット | DNSサーバのIPアドレス | 53 | Allow |
tcp | 業務LAN(兼管理LAN)のサブネット | DNSサーバのIPアドレス | 53 | Allow |
udp | 業務LAN(兼管理LAN)のサブネット | NTPサーバのIPアドレス | 123 | Allow |
(*1) シングルノードクラスタの場合は、不要です。
注意
外部ネットワークからssh 接続する場合、またはリモートデスクトップ接続する場合、必要に応じてそれらを許可する設定を追加してください。
yum コマンドを使用する場合、以下の設定を追加する必要があります。セキュリティを高めたい場合、本設定は必要に応じて、追加/削除してください。
通信方向 | 通信相手 | プロトコル情報 | 開始ポート番号 | アクション |
|---|---|---|---|---|
egress | 業務LAN(兼管理LAN)のサブネット | リポジトリサーバへのIP アドレス | 80 | Allow |
egress | 業務LAN(兼管理LAN)のサブネット | リポジトリサーバへのIP アドレス | 443 | Allow |
