ここでは、クラスタ内部の通信を許可するために必要なセキュリティの設定について説明します。

PRIMECLUSTERはクラスタ内部の通信のために、いくつかのプロトコル／ポートを使用します。以下のとおり、クラスタ内部の通信のためのプロトコル／ポートの通信は許可するようにしてください。

ただし、FJcloud-ベアメタルでは、PRIMECLUSTERが使用するプロトコル／ポートを許可する場合、セキュリティルールの上限数を超えてしまうため、OS上のFirewallを使用して通信を制限してください。

“PRIMECLUSTER導入運用手引書”の“付録K Firewallを使用する場合”を参照して、各NICに対して、Firewallを設定してください。

ベアメタル環境の場合、追加で以下のポート／プロトコルを許可する必要があります。

また、お客様のセキュリティ要件に応じてルールを追加してください。

• 管理LANに適用するFirewall

  以下のポート番号への送信を許可してください。

  シングルノードクラスタの場合は、不要です。

  通信相手	プロトコル	ポート範囲	説明
  DNSサーバのIPアドレス	tcp	53	強制停止に使用
  DNSサーバのIPアドレス	udp	53	強制停止に使用
  NTP サーバのIP アドレス	udp	123	NTPサーバ問合せ用
  指定せず	tcp	443	強制停止に使用
  相手クラスタノードの管理LANのIPアドレス	icmp	-	clchkclusterで使用

  以下のポート番号からの受信を許可してください。

  シングルノードクラスタの場合は、不要です。

  通信相手	プロトコル	ポート範囲	説明
  相手クラスタノードの管理LANのIPアドレス	icmp	-	clchkclusterで使用

• クラスタインタコネクトに適用するFirewall

  以下のプロトコルの送受信を許可してください。

  シングルノードクラスタの場合は、不要です。

  通信相手	プロトコル	ポート範囲	説明
  相手クラスタノードのインタコネクトのIPアドレス	123	-	ハートビートで使用

• ストレージネットワークに適用するFirewall

  以下のポート番号への送信を許可してください。

  通信相手	プロトコル	ポート範囲	説明
  ブロックストレージ(iSCSI)のIPアドレス	tcp	3260	ブロックストレージ(iSCSI)との接続で使用

Web-Based Admin View 用（管理クライアント側）のセキュリティグループを以下のような設定値で作成してください。

インバウンドルール

通信元CIDR	プロトコル	ポート範囲	説明
適宜指定	tcp	3389	リモートデスクトップ接続で使用

アウトバウンドルール

通信先CIDR	プロトコル	ポート範囲	説明
クラスタノードのIPアドレス	tcp	8081	運用管理ビューで使用
クラスタノードのIPアドレス	tcp	9798	運用管理ビューで使用
クラスタノードのIPアドレス	tcp	9799	運用管理ビューで使用

ファイアウォールサービスを使用する場合は、ファイアウォールルールに以下を追加してください。

(*1) シングルノードクラスタの場合は、不要です。