Hitachi Command Suite Software システム構成ガイド(Web Version)
Hitachi Command Suite製品で使用されるポートやプロセスをファイアウォールに例外登録すると,登録されたポートやプロセスへの外部からの接続が許可されます。
重要
- 運用開始後にWindowsファイアウォールを有効にした場合や管理サーバのOSにLinuxを使用する場合,管理サーバに接続されているネットワーク上にファイアウォールが設置されているときは,管理サーバで使用されるポートについては,Hitachi Command Suiteのインストール後にユーザーが手動で例外登録を行う必要があります。
- Windowsの場合
Hitachi Command Suiteを構成する各コンポーネントをファイアウォールの例外リストに登録します。- Linuxの場合
Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。
- この項の構成
- (1) ファイアーウォールへの例外登録が必要なポート
- (2) ファイアウォールの例外登録(Windows)
- (3) ファイアウォールの例外登録(Red Hat Enterprise Linux)
- (4) ファイアウォールの例外登録(SUSE Linux Enterprise Server)
管理サーバや管理クライアント,ストレージシステムなどをつなぐネットワーク上にファイアウォールが設置されている環境では,Hitachi Command Suite製品で使用されるポートをファイアウォールの例外として登録する必要があります。
- 表2-8 管理サーバと管理クライアントとの間のファイアウォールで例外登録が必要なポート番号
- 表2-9 管理サーバとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号
- 表2-10 管理クライアントとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号
- 表2-11 管理サーバと通常ホストとの間のファイアウォールで例外登録が必要なポート番号
- 表2-12 管理サーバと仮想化サーバとの間のファイアウォールで例外登録が必要なポート番号
- 表2-13 管理サーバとメインフレームホストとの間のファイアウォールで例外登録が必要なポート番号
- 表2-14 管理サーバとファイルサーバとの間のファイアウォールで例外登録が必要なポート番号
- 表2-15 Device Managerの管理サーバとTuning Managerの管理サーバとの間のファイアウォールで例外登録が必要なポート番号
- 表2-16 管理サーバとHost Data Collectorをインストールしたマシンとの間のファイアウォールで例外登録が必要なポート番号
- 表2-17 Host Data Collectorをインストールしたマシンとホストとの間のファイアウォールで例外登録が必要なポート番号
- 表2-18 管理サーバとSMI-Sプロバイダーとの間のファイアウォールで例外登録が必要なポート番号
- 表2-19 管理サーバとCIMクライアントとの間のファイアウォールで例外登録が必要なポート番号
- 表2-20 管理サーバとメールサーバとの間のファイアウォールで例外登録が必要なポート番号
- 表2-21 管理サーバと外部認証サーバとの間のファイアウォールで例外登録が必要なポート番号
表2-8 管理サーバと管理クライアントとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理クライアント
(GUI,Device Manager CLI)2001/tcp※ 管理サーバ 非SSL通信の場合に設定が必要です。 any/tcp 管理クライアント
(GUI,Device Manager CLI)2443/tcp※ 管理サーバ SSL通信の場合に設定が必要です。 any/tcp 管理クライアント
(Tiered Storage Manager CLI)20352/tcp※ 管理サーバ 非SSL通信の場合に設定が必要です。 any/tcp 管理クライアント
(GUI)23015/tcp※ 管理サーバ 非SSL通信の場合に設定が必要です。 any/tcp 管理クライアント
(GUI)23016/tcp※ 管理サーバ SSL通信の場合に設定が必要です。 any/tcp 管理クライアント
(Tiered Storage Manager CLI)24500/tcp※ 管理サーバ SSL通信の場合に設定が必要です。
- 注※
- ポート番号は変更できます。
表2-9 管理サーバとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/udp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- SANRISE9900V
- HUS VM
162/udp 管理サーバ - any/tcp 管理サーバ 443/tcp
- Virtual Storage Platform
- HUS VM
- any/tcp 管理サーバ 1099/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- SANRISE9900V
- HUS VM
- any/tcp 管理サーバ 2000/tcp※
- Hitachi AMS/WMS
- SANRISE9500V
- any/tcp 管理サーバ 2000/tcp※
- HUS100
- Hitachi SMS
- Hitachi AMS2000
非SSLで通信する場合に設定が必要です。 any/tcp
- Universal Storage Platform V/VM
- Hitachi USP
2001/tcp※ 管理サーバ ストレージシステムの任意のポートから管理サーバの2001/tcpポートに通信できるよう,ファイアウォールを設定してください。 any/tcp 管理サーバ 28355/tcp※
- HUS100
- Hitachi SMS
- Hitachi AMS2000
SSLで通信する場合に設定が必要です。 any/tcp 管理サーバ 51099/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- SANRISE9900V
- HUS VM
- any/tcp 管理サーバ 51100/tcp
- Universal Storage Platform V/VM
バージョン6.0.0-00以降のDevice Managerサーバにアップグレードインストールした際に設定が必要です。 any/tcp 管理サーバ 51100/tcp
- Virtual Storage Platform
-
- (凡例)
- -:該当なし
- 注※
- ポート番号は変更できます。
表2-10 管理クライアントとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理クライアント
(GUI)80/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- SANRISE9900V
- HUS VM
- any/tcp 管理クライアント
(GUI)443/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- HUS VM
SSLでElement Managerを使用する場合に設定が必要です。 any/tcp 管理クライアント
(GUI)1099/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- SANRISE9900V
- HUS VM
- any/tcp 管理クライアント
(GUI)51099/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- Hitachi USP
- SANRISE9900V
- HUS VM
- any/tcp 管理クライアント
(GUI)51100/tcp
- Virtual Storage Platform
- Universal Storage Platform V/VM
- HUS VM
-
- (凡例)
- -:該当なし
表2-11 管理サーバと通常ホストとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp
- 通常ホスト
- 仮想マシン
2001/tcp※ 管理サーバ - any/tcp 管理サーバ 24041/tcp※
- 通常ホスト
- 仮想マシン
- any/tcp 管理サーバ 24042/tcp※
- 通常ホスト
- 仮想マシン
-
- (凡例)
- -:該当なし
- 注※
- ポート番号は変更できます。
表2-12 管理サーバと仮想化サーバとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理サーバ 443/tcp
- VMware ESX
- VMware ESXを管理しているVMware vCenter Server
NPIVを使用して仮想WWNを仮想マシンに割り当てている場合に設定が必要です。 any/tcp 管理サーバ 5988/tcp vMA vMAを使用する構成で,かつ非SSL通信の場合に設定が必要です。 any/tcp 管理サーバ 5988/tcp VMware ESX vMAを使用しない構成で,かつ非SSL通信の場合に設定が必要です。 any/tcp 管理サーバ 5989/tcp vMA vMAを使用する構成で,かつSSL通信の場合に設定が必要です。 any/tcp 管理サーバ 5989/tcp VMware ESX vMAを使用しない構成で,かつSSL通信の場合に設定が必要です。 表2-13 管理サーバとメインフレームホストとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理サーバ 24042/tcp※ メインフレームホスト -
- (凡例)
- -:該当なし
- 注※
- ポート番号は変更できます。
表2-14 管理サーバとファイルサーバとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp
- Hitachi Virtual File Platform
- Hitachi NAS Platform
2001/tcp※ 管理サーバ - any/tcp 管理サーバ 8443/tcp Hitachi NAS Platform -
- (凡例)
- -:該当なし
- 注※
- ポート番号は変更できます。
表2-15 Device Managerの管理サーバとTuning Managerの管理サーバとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp Device Managerの管理サーバ 22286/tcp※1 Tuning Managerの管理サーバ リモート接続されたTuning Managerから,パリティグループの利用率やボリュームのIOPSなどの性能情報を取得する場合に設定が必要です。 any/tcp Device Managerの管理サーバ 22900/tcp~22999/tcp Tuning Managerの管理サーバ Tuning Managerとリモート接続する場合に設定が必要です。 any/tcp Device Managerの管理サーバ 45001/tcp~49000/tcp Tuning Managerの管理サーバ - any/tcp Tuning Managerの管理サーバ 23015/tcp※1 Device Managerの管理サーバ Tuning Managerとリモート接続する場合に設定が必要です。 any/tcp Tuning Managerの管理サーバ 23032/tcp※2 Device Managerの管理サーバ - any/tcp Tuning Managerの管理サーバ 24220/tcp※2 Device Managerの管理サーバ Tuning Managerとリモート接続する場合に設定が必要です。 any/tcp Tuning Managerの管理サーバ 1024/tcp~65535/tcp※3 Device Managerの管理サーバ リモート接続されたTuning Managerから,パリティグループの利用率やボリュームのIOPSなどの性能情報を取得する場合に設定が必要です。
- (凡例)
- -:該当なし
- 注※1
- ポート番号は変更できます。
- 注※2
- ポート番号は5001~65535の範囲で変更できます。
- 注※3
- Device ManagerとTuning ManagerのView Serverとの通信で使用されるポート番号です。config.xmlファイルおよびconfigforclient.xmlファイルのownPortパラメーターに設定したポート番号を登録してください。config.xmlファイルおよびconfigforclient.xmlファイルについては,「(6) config.xmlファイルおよびconfigforclient.xmlファイルの設定」を参照してください。
表2-16 管理サーバとHost Data Collectorをインストールしたマシンとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理サーバ 22098/tcp※ Host Data Collectorをインストールしたマシン 次の条件をすべて満たすときに設定が必要です。
- Host Data Collectorを管理サーバとは別のマシンにインストールしたとき
- 非SSL通信のとき
any/tcp 管理サーバ 22099/tcp※ Host Data Collectorをインストールしたマシン any/tcp 管理サーバ 22100/tcp※ Host Data Collectorをインストールしたマシン any/tcp 管理サーバ 22104/tcp※ Host Data Collectorをインストールしたマシン 次の条件をすべて満たすときに設定が必要です。
- Host Data Collectorを管理サーバとは別のマシンにインストールしたとき
- SSL通信のとき
any/tcp 管理サーバ 22105/tcp※ Host Data Collectorをインストールしたマシン any/tcp 管理サーバ 22106/tcp※ Host Data Collectorをインストールしたマシン
- 注※
- ポート番号は変更できます。
表2-17 Host Data Collectorをインストールしたマシンとホストとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp Host Data Collectorをインストールしたマシン 22/tcp※ 通常ホスト 管理対象の通常ホストのOSがUNIXの場合に設定が必要です。 any/tcp Host Data Collectorをインストールしたマシン 80/tcp
- VMware ESX
- VMware ESXを管理しているVMware vCenter Server
管理対象の仮想化サーバと非SSLで通信する場合に設定が必要です。 any/tcp Host Data Collectorをインストールしたマシン 139/tcp 通常ホスト 管理対象の通常ホストのOSがWindowsの場合に設定が必要です。 any/tcp Host Data Collectorをインストールしたマシン 443/tcp
- VMware ESX
- VMware ESXを管理しているVMware vCenter Server
管理対象の仮想化サーバとSSLで通信する場合に設定が必要です。
- 注※
- ポート番号は変更できます。
表2-18 管理サーバとSMI-Sプロバイダーとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp SMI-Sプロバイダー 5983/tcp※ 管理サーバ - any/tcp 管理サーバ 5988/tcp※ SMI-Sプロバイダー 非SSL通信の場合に設定が必要です。 any/tcp 管理サーバ 5989/tcp※ SMI-Sプロバイダー SSL通信の場合に設定が必要です。
- (凡例)
- -:該当なし
- 注※
- ポート番号は変更できます。
表2-19 管理サーバとCIMクライアントとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp CIMクライアント 427/tcp 管理サーバ - any/tcp CIMクライアント 5988/tcp※ 管理サーバ 非SSL通信の場合に設定が必要です。 any/tcp CIMクライアント 5989/tcp※ 管理サーバ SSL通信の場合に設定が必要です。
- (凡例)
- -:該当なし
- 注※
- ポート番号は変更できます。
表2-20 管理サーバとメールサーバとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理サーバ(Device Managerサーバ) 25/tcp※1 メールサーバ※2 次の事象をEメールでユーザーに通知する場合に設定が必要です。
- ストレージシステムでのアラートの発生
- [データマイグレーション]ウィザードから実行したタスクの完了
any/tcp 管理サーバ (Tiered Storage Manager サーバ) 25/tcp※1 メールサーバ※3 次の事象をEメールでユーザーに通知する場合に設定が必要です。
- Tiered Storage Manager CLIで実行したタスクの終了
- LegacyモードのTiered Storage Manager GUI([マイグレーション]ウィザード)で実行したタスクの終了
- ボリュームロック期限の満了
- マイグレーショングループの指定期間の経過
any/tcp 管理サーバ
(Storage Navigator Modular 2)25/tcp メールサーバ※4 操作対象のストレージシステムがHitachi AMS/WMSまたはSANRISE9500Vで,かつStorage Navigator Modular 2のEメール障害報告機能を利用する場合に設定が必要です。
- 注※1
- ポート番号は変更できます。
- 注※2
- Device Managerサーバのserver.mail.smtp.hostプロパティに指定したメールサーバです。
- 注※3
- Tiered Storage Managerサーバのserver.mail.smtp.hostプロパティに指定したメールサーバです。
- 注※4
- Storage Navigator Modular 2で,ストレージシステムの障害報告を発信できるように設定したメールサーバです。
表2-21 管理サーバと外部認証サーバとの間のファイアウォールで例外登録が必要なポート番号
通信元 通信先 備考 ポート番号 マシン ポート番号 マシン any/tcp 管理サーバ 88/tcp※ Kerberosサーバ - any/udp 管理サーバ 88/udp※ Kerberosサーバ - any/tcp 管理サーバ 359/tcp※ LDAPディレクトリサーバ - any/udp 管理サーバ 1812/udp※ RADIUSサーバ -
- (凡例)
- -:該当なし
- 注※
- 一般的に使用されるポート番号です。外部認証サーバで変更されていることがあります。
hcmdsfwcancelコマンドおよびnetshコマンドを実行して,Hitachi Command Suiteを構成する各コンポーネントをファイアウォールの例外リストに登録します。
ファイアウォールの例外リストに登録するには:
- 次のコマンドを実行して,Hitachi Command Suite共通Webサービスを例外リストに登録します。
<Hitachi Command Suite 共通コンポーネントのインストールフォルダ>\bin\hcmdsfwcancel.bat- 次のコマンドを実行して,Hitachi Command Suiteで使用するそのほかのコンポーネントを例外リストに登録します。
- Windows XP,Windows Server 2003 R2,Windows VistaまたはWindows Server 2008の場合
- netsh firewall add allowedprogram program="<パス>" name="<例外登録名>" mode=ENABLE
- Windows 7,Windows Server 2008 R2またはWindows Server 2012の場合
- netsh advfirewall firewall add rule name="<例外登録名>" dir=in action=allow program=" <パス>" description="<パス>" enable=yes
- 設定を有効にするために,Hitachi Command Suite製品のサービスを再起動します。
コンポーネント 例外登録名 パス Device Managerサーバ Device Manager <Device Managerサーバのインストールフォルダ>\HiCommandServer\HiCommandServer.exe Tiered Storage Managerサーバ Tiered Storage Manager(htsmService) <Tiered Storage Managerサーバのインストールフォルダ>\bin\htsmService.exe Tiered Storage Manager(htsmHDvMUser) <Tiered Storage Managerサーバのインストールフォルダ>\inst\htsmHDvMUser.exe Tiered Storage Manager(htsmVersion) <Tiered Storage Managerサーバのインストールフォルダ>\inst\htsmVersion.exe Tiered Storage Manager(schemaDrop) <Tiered Storage Managerサーバのインストールフォルダ>\inst\schemaDrop.exe Tiered Storage Manager(schemaCreate) <Tiered Storage Managerサーバのインストールフォルダ>\inst\schemaCreate.exe JDK HBase(cmd)
- Windows XPまたはWindows Server 2003 R2の場合
- <Hitachi Command Suite共通コンポーネントのインストールフォルダ>\jdk\jre\bin\java.exe
- Windows Vista,Windows 7,Windows Server 2008,Windows Server 2008 R2またはWindows Server 2012の場合
- <Hitachi Command Suite共通コンポーネントのインストールフォルダ>\jdk5_0\jre\bin\java.exe※
HBase(cmd)
- Windows XPまたはWindows Server 2003 R2の場合
- <Hitachi Command Suite共通コンポーネントのインストールフォルダ>\jdk\bin\java.exe
- Windows Vista,Windows 7,Windows Server 2008,Windows Server 2008 R2またはWindows Server 2012の場合
- <Hitachi Command Suite共通コンポーネントのインストールフォルダ>\jdk5_0\bin\java.exe※
- 注※
- Hitachi Command Suiteに同梱されているJDK以外のJDKを使用する場合は,使用するJDKのインストールフォルダにあるjava.exeを絶対パスで指定してください。
(3) ファイアウォールの例外登録(Red Hat Enterprise Linux)
テキストモードセットアップユーティリティを使用して,Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。
ファイアウォールの例外リストに登録するには:
- ターミナルウィンドウからsetupコマンドを実行します。
テキストモードセットアップユーティリティの[ツール選択]画面が表示されます。- [ファイヤーウォールの設定]を選択し,[Tab]キーで[実行ツール]ボタンへ移動し,[Enter]キーを押します。
[ファイアウォール設定]画面が表示されます。- [セキュリティレベル]を[有効]に合わせ,スペースキーを押してチェックを入れ,[Tab]キーで[カスタマイズ]ボタンへ移動し,[Enter]キーを押します。
[ファイアウォール設定-カスタマイズ]画面が表示されます。- [その他のポート]に例外登録するポートを指定し,[Tab]キーで[OK]ボタンへ移動し,[Enter]キーを押します。
(例)
その他のポート 162:udp 2001:tcp 23015:tcp
重要
- すでにポートが指定されていた場合は,空白区切りで追加入力してください。
- [ファイアウォール設定]画面に戻ったら,[セキュリティレベル]が[有効]になっていることを確認し,[Tab]キーで[OK]ボタンへ移動し,[Enter]キーを押します。
(4) ファイアウォールの例外登録(SUSE Linux Enterprise Server)
SuSEfirewall2ファイルを編集して,Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。
ファイアウォールの例外リストに登録するには:
- /etc/sysconfig/SuSEfirewall2ファイルを編集して,例外登録するポートを指定します。
例外登録するポート番号を次の形式で指定します。次に示す例では,2001,23015,23016,23017,23018,161および162だけが例外登録されます。
- FW_SERVICES_EXT_TCP=”<TCPポート番号>”
- FW_SERVICES_EXT_UDP=”<UDPポート番号>”
FW_SERVICES_EXT_TCP=”2001 23015:23018” FW_SERVICES_EXT_UDP=”161 162”- /sbin/SuSEfirewall2を実行します。
All Rights Reserved. Copyright© 2010, 2014, Hitachi, Ltd.