ここでは、クラスタ内部の通信を許可するために必要なファイアウォールグループのルールの設定について説明します。
PRIMECLUSTER はクラスタ内部の通信のためにいくつかのプロトコル/ポートを使用します。ルールを詳細に設定する場合は、クラスタ内部の通信のためのプロトコル/ポートの通信は許可するようにしてください。
また、お客様のセキュリティ要件に応じてルールを追加することで、ファイアウォールグループを設計してください。
要件に応じてルールを追加する場合や、他のソフトウェアの動作に必要なルールを追加する場合は、PRIMECLUSTER の通信を拒否することがないように設定してください。
以降のルールの表は、2ノード構成のクラスタシステムについてのルールを記載しています。
参照
ファイアウォールグループのルールの詳細については、ニフクラの公式ドキュメントを参照してください。
管理LANに適用するファイアウォールグループのルールを設計します。
シングルノードクラスタの場合は、INルールの設計は不要です。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
UDP | 9382 | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | シャットダウン機構(SF)で使用 |
UDP | 9796 | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | 運用管理ビューで使用 |
TCP | 9797 | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | 運用管理ビューで使用 |
ICMP | - (すべてのポートを指定) | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | clchkclusterで使用 |
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
UDP(*1) | 9382 | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | シャットダウン機構(SF)で使用 |
UDP(*1) | 9796 | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | 運用管理ビューで使用 |
TCP(*1) | 9797 | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | 運用管理ビューで使用 |
ICMP(*1) | - (すべてのポートを指定) | IP/CIDR | クラスタの相手ノードの管理LAN用NICのIP | clchkclusterで使用 |
TCP(*1) | 53 | IP/CIDR | DNSのCIDR | 強制停止に使用(APIエンドポイントの名前解決) |
UDP(*1) | 53 | IP/CIDR | DNSのCIDR | 強制停止に使用(APIエンドポイントの名前解決) |
TCP(*1) | 443 | IP/CIDR | 0.0.0.0/0 | 強制停止に使用(APIエンドポイントとの通信) |
TCP | 123 | IP/CIDR | NTPサーバのIPアドレス | NTPサーバ問合せ用 |
UDP | 123 | IP/CIDR | NTPサーバのIPアドレス | NTPサーバ問合せ用 |
(*1) シングルノードクラスタの場合は、不要です。
Web-Based Admin View 用に適用するファイアウォールグループのルールを設計します。
1) クライアント用サーバによる接続性確保の場合
Web-Based Admin View 用(クラスタノード側)に適用するファイアウォールグループのルールを設計します。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 8081 | IP/CIDR | 運用管理ビュークライアント用サーバのIP | 運用管理ビューで使用 |
TCP | 9798 | IP/CIDR | 運用管理ビュークライアント用サーバのIP | 運用管理ビューで使用 |
TCP | 9799 | IP/CIDR | 運用管理ビュークライアント用サーバのIP | 運用管理ビューで使用 |
Web-Based Admin View 用(管理クライアント側)に適用するファイアウォールグループのルールを設計します。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 8081 | IP/CIDR | クラスタのすべてのノードの管理LAN用NICのIP | 運用管理ビューで使用 |
TCP | 9798 | IP/CIDR | クラスタのすべてのノードの管理LAN用NICのIP | 運用管理ビューで使用 |
TCP | 9799 | IP/CIDR | クラスタのすべてのノードの管理LAN用NICのIP | 運用管理ビューで使用 |
また、運用管理ビュークライアント用サーバに対し、運用管理ビュークライアントリモート操作用端末からのリモートデスクトップ接続を許可するよう、ファイアウォールグループのINルールを作成してください。
2) VPN接続を利用する接続性確保の場合
Web-Based Admin View 用(クラスタノード側)に適用するファイアウォールグループのルールを設計します。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 8081 | IP/CIDR | 運用管理ビュークライアントのCIDR | 運用管理ビューで使用 |
TCP | 9798 | IP/CIDR | 運用管理ビュークライアントのCIDR | 運用管理ビューで使用 |
TCP | 9799 | IP/CIDR | 運用管理ビュークライアントのCIDR | 運用管理ビューで使用 |
Web-Based Admin View 用(VPNゲートウェイ側)に適用するファイアウォールグループのルールを設計します。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 8081 | IP/CIDR | クラスタのすべてのノードの管理LAN用NICのIP | 運用管理ビューで使用 |
TCP | 9798 | IP/CIDR | クラスタのすべてのノードの管理LAN用NICのIP | 運用管理ビューで使用 |
TCP | 9799 | IP/CIDR | クラスタのすべてのノードの管理LAN用NICのIP | 運用管理ビューで使用 |
VPN接続を利用する場合は、“8.3.2.5 VPN利用時にVPNゲートウェイに適用するルール”を参照し、VPNゲートウェイに適用するファイアウォールグループを併せて設定してください。
導入・保守時にサーバアクセス用に適用するファイアウォールグループのルールを設計します。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 22 | IP/CIDR | アクセス元のCIDR | SSHのリモートアクセスで使用 |
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 80 | IP/CIDR | 0.0.0.0/0 | 依存パッケージのインストールで使用 |
TCP | 443 | IP/CIDR | 0.0.0.0/0 | 依存パッケージのインストールで使用 |
クラスタインタコネクトに適用するファイアウォールグループのルールを設計します。
シングルノードクラスタの場合は、不要です。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
ANY | - (すべてのポートを指定) | IP/CIDR | クラスタの相手ノードのクラスタインタコネクト用NICのIP | ハートビートで使用 |
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
ANY | - (すべてのポートを指定) | IP/CIDR | クラスタの相手ノードのクラスタインタコネクト用NICのIP | ハートビートで使用 |
業務LANに適用するファイアウォールグループのルールを設計します。
アプリケーションの動作に必要なルール、および以下のOUTルールを追加してください。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
ICMP | - (すべてのポートを指定) | IP/CIDR | 業務ネットワーク監視先のCIDR | 業務ネットワークの監視で使用 |
ネットワークの疎通監視機能を使用する場合に必要になります。
詳細については、“PRIMECLUSTER 導入運用手引書”の“6.7.3.6 引継ぎネットワークリソースの設定”を参照してください。
業務LAN異常監視でルーターを使用する場合、クラスタからのICMPを許可するよう、ルーターのファイアウォールグループのINルールを追加してください。
データ同期用ネットワークに適用するファイアウォールグループのルールを設計します。
シングルノードクラスタの場合は、不要です。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 3260 | IP/CIDR | クラスタの相手ノードのデータ同期用NICのIP | サーバ間ミラーリングで使用 |
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
TCP | 3260 | IP/CIDR | クラスタの相手ノードのデータ同期用NICのIP | サーバ間ミラーリングで使用 |
VPN利用時にVPNゲートウェイに適用するファイアウォールグループのルールを設計します。
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
UDP | 500 | IP/CIDR | アクセス元のCIDR | VPN接続で使用 |
UDP | 4500 | IP/CIDR | アクセス元のCIDR | VPN接続で使用 |
ESP | - (すべてのポートを指定) | IP/CIDR | アクセス元のCIDR | VPN接続で使用 |
プロトコル | 宛先ポート | 接続元種別 | IP/CIDR・グループ | 説明 |
|---|---|---|---|---|
VPN経由で行う通信で利用するプロトコル | VPN経由で行う通信で利用するポート | IP/CIDR | VPN経由で通信するクラスタのIP/CIDR | VPN接続で使用 |
追加したOUTルールについて、VPN接続元CIDRからの通信を許可するよう、サーバのファイアウォールグループのINルールを追加してください。
