ここでは、クラスタ内部の通信を許可するために必要なセキュリティグループのルールの設定について説明します。
PRIMECLUSTERはクラスタ内部の通信のためにいくつかのプロトコル/ポートを使用します。ここに記載するルールを設定することで、クラスタ内部の通信のためのプロトコル/ポートの通信は許可するようにしてください。
ここに記載したルールに加え、お客様のセキュリティ要件に応じてルールを追加することで、セキュリティグループを設計してください。
管理LANに適用するセキュリティルールを設計します。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | udp | 9382 | シャットダウン機構(SF)で使用 |
自グループ | udp | 9796 | 運用管理ビューで使用 |
自グループ | tcp | 9797 | 運用管理ビューで使用 |
自グループ | icmp | すべて | clchkclusterで使用 |
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
0.0.0.0/0 | tcp | 443 | 強制停止/ネットワーク切替えに使用 |
DNSサーバのCIDR | tcp | 53 | 強制停止/ネットワーク切替えに使用 |
自グループ | icmp | すべて | clchkclusterで使用 |
自グループ | udp | 9382 | シャットダウン機構(SF)で使用 |
自グループ | udp | 9796 | 運用管理ビューで使用 |
自グループ | tcp | 9797 | 運用管理ビューで使用 |
Web-Based Admin View 用のセキュリティグループを以下のような設定値で作成してください。
1) クライアント用インスタンスによる接続性確保の場合
Web-Based Admin View 用(クラスタノード側)のセキュリティグループを以下のような設定値で作成してください。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | tcp | 8081 | 運用管理ビューで使用 |
自グループ | tcp | 9798 | 運用管理ビューで使用 |
自グループ | tcp | 9799 | 運用管理ビューで使用 |
Web-Based Admin View 用(管理クライアント側)のセキュリティグループを以下のような設定値で作成してください。
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | tcp | 8081 | 運用管理ビューで使用 |
自グループ | tcp | 9798 | 運用管理ビューで使用 |
自グループ | tcp | 9799 | 運用管理ビューで使用 |
また、運用管理ビュークライアント用インスタンスに対し、運用管理ビュークライアントリモート操作用端末からのリモートデスクトップ接続を許可するよう、セキュリティグループのインバウンドルールを作成してください。
2) VPN接続を利用する接続性確保の場合
Web-Based Admin View 用(クラスタノード側)のセキュリティグループを以下のような設定値で作成してください。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
運用管理ビュークライアントのCIDR | tcp | 8081 | 運用管理ビューで使用 |
運用管理ビュークライアントのCIDR | tcp | 9798 | 運用管理ビューで使用 |
運用管理ビュークライアントのCIDR | tcp | 9799 | 運用管理ビューで使用 |
Web-Based Admin View 用(管理クライアント側)のセキュリティグループを以下のような設定値で作成してください。
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
運用管理ビュー用インスタンス(クラスタノード)のCIDR | tcp | 8081 | 運用管理ビューで使用 |
運用管理ビュー用インスタンス(クラスタノード)のCIDR | tcp | 9798 | 運用管理ビューで使用 |
運用管理ビュー用インスタンス(クラスタノード)のCIDR | tcp | 9799 | 運用管理ビューで使用 |
導入・保守時にインスタンスアクセス用に適用するセキュリティルールを設計します。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
アクセス元のCIDR | tcp | 22 | SSHでのリモートアクセスで使用 |
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
0.0.0.0/0 | tcp | 80 | 依存パッケージのインストールで使用 |
0.0.0.0/0 | tcp | 443 | 依存パッケージのインストールで使用 |
クラスタインタコネクトに適用するセキュリティルールを設計します。
シングルノードクラスタの場合は、不要です。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | PTP (123) | すべて | ハートビートで使用 |
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | PTP (123) | すべて | ハートビートで使用 |
Amazon FSx for NetApp ONTAPを使用し、GDSの共用ディスク構成のクラスタシステムを構築する場合は、以下のルールも合わせて設定してください。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | icmp | すべて | I/Oフェンシング機能を使用した強制停止方式で使用 |
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | icmp | すべて | I/Oフェンシング機能を使用した強制停止方式で使用 |
業務LANに適用するセキュリティルールを設計します。
アプリケーションの動作に必要なルール、および以下のアウトバウンドルールを追加してください。
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
業務ネットワーク監視先のCIDR | icmp | すべて | 業務ネットワークの監視で使用 |
ネットワークの疎通監視機能を使用する場合に必要になります。
詳細については、“PRIMECLUSTER 導入運用手引書”の“6.7.3.6 引継ぎネットワークリソースの設定”を参照してください。
なお、仮想ルータを監視先にする場合、監視先の仮想ルータとすべてのクラスタノードの業務LANは、同じサブネットにある必要があります。
データ同期用ネットワークに適用するセキュリティルールを設定します。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | tcp | 3260 | サーバ間ミラーリングで使用 |
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | tcp | 3260 | サーバ間ミラーリングで使用 |
iSCSI接続用ネットワークに適用するセキュリティルールを設計します。
Amazon FSx for NetApp ONTAPを使用する場合、以下のセキュリティルールをiSCSI接続用ネットワークに適用する必要があります。
通信元CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | tcp | 3260 | Amazon FSx for NetApp ONTAPで使用 |
通信先CIDR | プロトコル | ポート範囲 | 説明 |
|---|---|---|---|
自グループ | tcp | 3260 | Amazon FSx for NetApp ONTAPで使用 |
