ここでは、クラスタ内部の通信を許可するために必要なネットワークセキュリティグループのセキュリティ規則の設定について説明します。
PRIMECLUSTERはクラスタ内部の通信のためにいくつかのプロトコル/ポートを使用します。
ネットワークセキュリティグループ新規作成時には、Azureの既定セキュリティ規則により、Azure Virtual Network内の通信はすべて許可されています。セキュリティ規則を詳細に設定する場合は、ここに記載するセキュリティ規則を作成し、クラスタ内部の通信のためのプロトコル/ポートの通信は許可するようにしてください。
また、ここに記載したセキュリティ規則に加え、お客様のセキュリティ要件に応じてセキュリティ規則を追加することで、ネットワークセキュリティグループを設計してください。
要件に応じてセキュリティ規則を追加する場合や、他のソフトウェアの動作に必要なセキュリティ規則を追加する場合は、PRIMECLUSTERの通信を拒否することがないよう、優先度を設定してください。
以降のセキュリティ規則の表は、2ノード構成(CFノード名が、クラスタノード1、クラスタノード2)のクラスタシステムについてのセキュリティ規則を記載しています。
参照
セキュリティ規則の詳細、優先度については、Azureの公式ドキュメントを参照してください。
管理LANに適用するセキュリティ規則を設計します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | 9382 | UDP | 許可 | シャットダウン機構(SF)で使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | 9796 | UDP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | 9797 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | *(すべてのポートを指定) | ICMP | 許可 | clchkclusterで使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | 9382 | UDP | 許可 | シャットダウン機構(SF)で使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | 9796 | UDP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | 9797 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | クラスタノード2の管理LANのIP | *(すべてのポートを指定) | ICMP | 許可 | clchkclusterで使用 |
クラスタノード2の管理LANのIP | クラスタノード1の管理LANのIP | |||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | 168.63.129.16 | 53 | TCP | 許可 | 強制停止/ネットワーク切替えに使用 |
クラスタノード2の管理LANのIP | ||||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | 168.63.129.16 | 53 | UDP | 許可 | 強制停止/ネットワーク切替えに使用 |
クラスタノード2の管理LANのIP |
ソース | ソースポート範囲 | 宛先 | 宛先 | 宛先 | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|---|
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | Service Tag | AzureCloud | 443 | TCP | 許可 | 強制停止/ネットワーク切替えに使用(APIエンドポイントとの通信) |
クラスタノード2の管理LANのIP | |||||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | Service Tag | Internet | 123 | TCP | 許可 | NTPサーバ問い合わせ用 |
クラスタノード2の管理LANのIP | |||||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | Service Tag | Internet | 123 | UDP | 許可 | NTPサーバ問い合わせ用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
Web-Based Admin View 用に適用するセキュリティ規則を設計します。
1) クライアント用仮想マシンによる接続性確保の場合
Web-Based Admin View 用(クラスタノード側)に適用するセキュリティ規則を設計します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
運用管理ビュークライアント用仮想マシンのIP | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 8081 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアント用仮想マシンのIP | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9798 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアント用仮想マシンのIP | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9799 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
Web-Based Admin View 用(管理クライアント側)に適用するセキュリティ規則を設計します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
運用管理ビュークライアント用仮想マシンのIP | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 8081 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアント用仮想マシンのIP | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9798 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアント用仮想マシンのIP | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9799 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
また、運用管理ビュークライアント用仮想マシンに対し、運用管理ビュークライアントリモート操作用端末からのリモートデスクトップ接続を許可するよう、ネットワークセキュリティグループの受信セキュリティ規則を作成してください。
2) VPN接続を利用する接続性確保の場合
Web-Based Admin View 用(クラスタノード側)に適用するセキュリティ規則を設計します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
運用管理ビュークライアントのCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 8081 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアントのCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9798 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアントのCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9799 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
Web-Based Admin View 用(管理クライアント側)に適用するセキュリティ規則を設計します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
運用管理ビュークライアントのCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 8081 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアントのCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9798 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP | ||||||
運用管理ビュークライアントのCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 9799 | TCP | 許可 | 運用管理ビューで使用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
導入・保守時に仮想マシンアクセス用に適用するセキュリティ規則を設計します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
アクセス元のCIDR | *(すべてのポートを指定) | クラスタノード1の管理LANのIP | 22 | TCP | 許可 | SSHのリモートアクセスで使用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
ソース | ソースポート範囲 | 宛先 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|---|
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | Service Tag | Internet | 80 | TCP | 許可 | 依存パッケージのインストールで使用 |
クラスタノード2の管理LANのIP | |||||||
クラスタノード1の管理LANのIP | *(すべてのポートを指定) | Service Tag | Internet | 443 | TCP | 許可 | 依存パッケージのインストールで使用 |
クラスタノード2の管理LANのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
クラスタインタコネクトに適用するセキュリティ規則を設計します。
シングルノードクラスタの場合は、不要です。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
クラスタノード1のクラスタインタコネクト用NICのIP | *(すべてのポートを指定) | クラスタノード2のクラスタインタコネクト用NICのIP | *(すべてのポートを指定) | Any | 許可 | ハートビートで使用 |
クラスタノード2のクラスタインタコネクト用NICのIP | クラスタノード1のクラスタインタコネクト用NICのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
クラスタノード1のクラスタインタコネクト用NICのIP | *(すべてのポートを指定) | クラスタノード2のクラスタインタコネクト用NICのIP | *(すべてのポートを指定) | Any | 許可 | ハートビートで使用 |
クラスタノード2のクラスタインタコネクト用NICのIP | クラスタノード1のクラスタインタコネクト用NICのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
業務LANに適用するセキュリティ規則を設計します。
アプリケーションの動作に必要なセキュリティ規則を追加してください。
データ同期用ネットワークに適用するセキュリティ規則を設定します。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
クラスタノード1のデータ同期用NICのIP | *(すべてのポートを指定) | クラスタノード2のデータ同期用NICのIP | 3260 | TCP | 許可 | サーバ間ミラーリングで使用 |
クラスタノード2のデータ同期用NICのIP | クラスタノード1のデータ同期用NICのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
ソース | ソースポート範囲 | 宛先 | 宛先ポート | プロトコル | アクション | 説明 |
|---|---|---|---|---|---|---|
クラスタノード1のデータ同期用NICのIP | *(すべてのポートを指定) | クラスタノード2のデータ同期用NICのIP | 3260 | TCP | 許可 | サーバ間ミラーリングで使用 |
クラスタノード2のデータ同期用NICのIP | クラスタノード1のデータ同期用NICのIP |
ソースおよび宛先については、要件に応じて、VNet・アプリケーションセキュリティグループに置き換えてください。
