Hitachi Command Suite Software システム構成ガイド(Web Version)

[目次][索引][前へ][次へ]


2.1.3 ファイアウォールの例外登録

Hitachi Command Suite製品で使用されるポートやプロセスをファイアウォールに例外登録すると,登録されたポートやプロセスへの外部からの接続が許可されます。

重要
運用開始後にWindowsファイアウォールを有効にした場合や管理サーバのOSにLinuxを使用する場合,管理サーバに接続されているネットワーク上にファイアウォールが設置されているときは,管理サーバで使用されるポートについては,Hitachi Command Suiteのインストール後にユーザーが手動で例外登録を行う必要があります。
  • Windowsの場合
    Hitachi Command Suiteを構成する各コンポーネントをファイアウォールの例外リストに登録します。
  • Linuxの場合
    Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。
この項の構成
(1) ファイアーウォールへの例外登録が必要なポート
(2) ファイアウォールの例外登録(Windows)
(3) ファイアウォールの例外登録(Red Hat Enterprise Linux)
(4) ファイアウォールの例外登録(SUSE Linux Enterprise Server)

(1) ファイアーウォールへの例外登録が必要なポート

管理サーバや管理クライアント,ストレージシステムなどをつなぐネットワーク上にファイアウォールが設置されている環境では,Hitachi Command Suite製品で使用されるポートをファイアウォールの例外として登録する必要があります。

表2-8 管理サーバと管理クライアントとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理クライアント
(GUI,Device Manager CLI)
2001/tcp 管理サーバ 非SSL通信の場合に設定が必要です。
any/tcp 管理クライアント
(GUI,Device Manager CLI)
2443/tcp 管理サーバ SSL通信の場合に設定が必要です。
any/tcp 管理クライアント
(Tiered Storage Manager CLI)
20352/tcp 管理サーバ 非SSL通信の場合に設定が必要です。
any/tcp 管理クライアント
(GUI)
23015/tcp 管理サーバ 非SSL通信の場合に設定が必要です。
any/tcp 管理クライアント
(GUI)
23016/tcp 管理サーバ SSL通信の場合に設定が必要です。
any/tcp 管理クライアント
(Tiered Storage Manager CLI)
24500/tcp 管理サーバ SSL通信の場合に設定が必要です。

注※
ポート番号は変更できます。

表2-9 管理サーバとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/udp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
162/udp 管理サーバ -
any/tcp 管理サーバ 443/tcp
  • Virtual Storage Platform
  • HUS VM
-
any/tcp 管理サーバ 1099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp 管理サーバ 2000/tcp
  • Hitachi AMS/WMS
  • SANRISE9500V
-
any/tcp 管理サーバ 2000/tcp
  • HUS100
  • Hitachi SMS
  • Hitachi AMS2000
非SSLで通信する場合に設定が必要です。
any/tcp
  • Universal Storage Platform V/VM
  • Hitachi USP
2001/tcp 管理サーバ ストレージシステムの任意のポートから管理サーバの2001/tcpポートに通信できるよう,ファイアウォールを設定してください。
any/tcp 管理サーバ 28355/tcp
  • HUS100
  • Hitachi SMS
  • Hitachi AMS2000
SSLで通信する場合に設定が必要です。
any/tcp 管理サーバ 51099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp 管理サーバ 51100/tcp
  • Universal Storage Platform V/VM
バージョン6.0.0-00以降のDevice Managerサーバにアップグレードインストールした際に設定が必要です。
any/tcp 管理サーバ 51100/tcp
  • Virtual Storage Platform
-

(凡例)
-:該当なし

注※
ポート番号は変更できます。

表2-10 管理クライアントとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理クライアント
(GUI)
80/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp 管理クライアント
(GUI)
443/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • HUS VM
SSLでElement Managerを使用する場合に設定が必要です。
any/tcp 管理クライアント
(GUI)
1099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp 管理クライアント
(GUI)
51099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp 管理クライアント
(GUI)
51100/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • HUS VM
-

(凡例)
-:該当なし

表2-11 管理サーバと通常ホストとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp
  • 通常ホスト
  • 仮想マシン
2001/tcp 管理サーバ -
any/tcp 管理サーバ 24041/tcp
  • 通常ホスト
  • 仮想マシン
-
any/tcp 管理サーバ 24042/tcp
  • 通常ホスト
  • 仮想マシン
-

(凡例)
-:該当なし

注※
ポート番号は変更できます。

表2-12 管理サーバと仮想化サーバとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理サーバ 443/tcp
  • VMware ESX
  • VMware ESXを管理しているVMware vCenter Server
NPIVを使用して仮想WWNを仮想マシンに割り当てている場合に設定が必要です。
any/tcp 管理サーバ 5988/tcp vMA vMAを使用する構成で,かつ非SSL通信の場合に設定が必要です。
any/tcp 管理サーバ 5988/tcp VMware ESX vMAを使用しない構成で,かつ非SSL通信の場合に設定が必要です。
any/tcp 管理サーバ 5989/tcp vMA vMAを使用する構成で,かつSSL通信の場合に設定が必要です。
any/tcp 管理サーバ 5989/tcp VMware ESX vMAを使用しない構成で,かつSSL通信の場合に設定が必要です。

表2-13 管理サーバとメインフレームホストとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理サーバ 24042/tcp メインフレームホスト -

(凡例)
-:該当なし

注※
ポート番号は変更できます。

表2-14 管理サーバとファイルサーバとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp
  • Hitachi Virtual File Platform
  • Hitachi NAS Platform
2001/tcp 管理サーバ -
any/tcp 管理サーバ 8443/tcp Hitachi NAS Platform -

(凡例)
-:該当なし

注※
ポート番号は変更できます。

表2-15 Device Managerの管理サーバとTuning Managerの管理サーバとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp Device Managerの管理サーバ 22286/tcp※1 Tuning Managerの管理サーバ リモート接続されたTuning Managerから,パリティグループの利用率やボリュームのIOPSなどの性能情報を取得する場合に設定が必要です。
any/tcp Device Managerの管理サーバ 22900/tcp~22999/tcp Tuning Managerの管理サーバ Tuning Managerとリモート接続する場合に設定が必要です。
any/tcp Device Managerの管理サーバ 45001/tcp~49000/tcp Tuning Managerの管理サーバ -
any/tcp Tuning Managerの管理サーバ 23015/tcp※1 Device Managerの管理サーバ Tuning Managerとリモート接続する場合に設定が必要です。
any/tcp Tuning Managerの管理サーバ 23032/tcp※2 Device Managerの管理サーバ -
any/tcp Tuning Managerの管理サーバ 24220/tcp※2 Device Managerの管理サーバ Tuning Managerとリモート接続する場合に設定が必要です。
any/tcp Tuning Managerの管理サーバ 1024/tcp~65535/tcp※3 Device Managerの管理サーバ リモート接続されたTuning Managerから,パリティグループの利用率やボリュームのIOPSなどの性能情報を取得する場合に設定が必要です。

(凡例)
-:該当なし

注※1
ポート番号は変更できます。

注※2
ポート番号は5001~65535の範囲で変更できます。

注※3
Device ManagerとTuning ManagerのView Serverとの通信で使用されるポート番号です。config.xmlファイルおよびconfigforclient.xmlファイルのownPortパラメーターに設定したポート番号を登録してください。config.xmlファイルおよびconfigforclient.xmlファイルについては,「(6) config.xmlファイルおよびconfigforclient.xmlファイルの設定」を参照してください。

表2-16 管理サーバとHost Data Collectorをインストールしたマシンとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理サーバ 22098/tcp Host Data Collectorをインストールしたマシン 次の条件をすべて満たすときに設定が必要です。
  • Host Data Collectorを管理サーバとは別のマシンにインストールしたとき
  • 非SSL通信のとき
any/tcp 管理サーバ 22099/tcp Host Data Collectorをインストールしたマシン
any/tcp 管理サーバ 22100/tcp Host Data Collectorをインストールしたマシン
any/tcp 管理サーバ 22104/tcp Host Data Collectorをインストールしたマシン 次の条件をすべて満たすときに設定が必要です。
  • Host Data Collectorを管理サーバとは別のマシンにインストールしたとき
  • SSL通信のとき
any/tcp 管理サーバ 22105/tcp Host Data Collectorをインストールしたマシン
any/tcp 管理サーバ 22106/tcp Host Data Collectorをインストールしたマシン

注※
ポート番号は変更できます。

表2-17 Host Data Collectorをインストールしたマシンとホストとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp Host Data Collectorをインストールしたマシン 22/tcp 通常ホスト 管理対象の通常ホストのOSがUNIXの場合に設定が必要です。
any/tcp Host Data Collectorをインストールしたマシン 80/tcp
  • VMware ESX
  • VMware ESXを管理しているVMware vCenter Server
管理対象の仮想化サーバと非SSLで通信する場合に設定が必要です。
any/tcp Host Data Collectorをインストールしたマシン 139/tcp 通常ホスト 管理対象の通常ホストのOSがWindowsの場合に設定が必要です。
any/tcp Host Data Collectorをインストールしたマシン 443/tcp
  • VMware ESX
  • VMware ESXを管理しているVMware vCenter Server
管理対象の仮想化サーバとSSLで通信する場合に設定が必要です。

注※
ポート番号は変更できます。

表2-18 管理サーバとSMI-Sプロバイダーとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp SMI-Sプロバイダー 5983/tcp 管理サーバ -
any/tcp 管理サーバ 5988/tcp SMI-Sプロバイダー 非SSL通信の場合に設定が必要です。
any/tcp 管理サーバ 5989/tcp SMI-Sプロバイダー SSL通信の場合に設定が必要です。

(凡例)
-:該当なし

注※
ポート番号は変更できます。

表2-19 管理サーバとCIMクライアントとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp CIMクライアント 427/tcp 管理サーバ -
any/tcp CIMクライアント 5988/tcp 管理サーバ 非SSL通信の場合に設定が必要です。
any/tcp CIMクライアント 5989/tcp 管理サーバ SSL通信の場合に設定が必要です。

(凡例)
-:該当なし

注※
ポート番号は変更できます。

表2-20 管理サーバとメールサーバとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理サーバ(Device Managerサーバ) 25/tcp※1 メールサーバ※2 次の事象をEメールでユーザーに通知する場合に設定が必要です。
  • ストレージシステムでのアラートの発生
  • [データマイグレーション]ウィザードから実行したタスクの完了
any/tcp 管理サーバ (Tiered Storage Manager サーバ) 25/tcp※1 メールサーバ※3 次の事象をEメールでユーザーに通知する場合に設定が必要です。
  • Tiered Storage Manager CLIで実行したタスクの終了
  • LegacyモードのTiered Storage Manager GUI([マイグレーション]ウィザード)で実行したタスクの終了
  • ボリュームロック期限の満了
  • マイグレーショングループの指定期間の経過
any/tcp 管理サーバ
(Storage Navigator Modular 2)
25/tcp メールサーバ※4 操作対象のストレージシステムがHitachi AMS/WMSまたはSANRISE9500Vで,かつStorage Navigator Modular 2のEメール障害報告機能を利用する場合に設定が必要です。

注※1
ポート番号は変更できます。

注※2
Device Managerサーバのserver.mail.smtp.hostプロパティに指定したメールサーバです。

注※3
Tiered Storage Managerサーバのserver.mail.smtp.hostプロパティに指定したメールサーバです。

注※4
Storage Navigator Modular 2で,ストレージシステムの障害報告を発信できるように設定したメールサーバです。

表2-21 管理サーバと外部認証サーバとの間のファイアウォールで例外登録が必要なポート番号

通信元 通信先 備考
ポート番号 マシン ポート番号 マシン
any/tcp 管理サーバ 88/tcp Kerberosサーバ -
any/udp 管理サーバ 88/udp Kerberosサーバ -
any/tcp 管理サーバ 359/tcp LDAPディレクトリサーバ -
any/udp 管理サーバ 1812/udp RADIUSサーバ -

(凡例)
-:該当なし

注※
一般的に使用されるポート番号です。外部認証サーバで変更されていることがあります。

関連項目

(2) ファイアウォールの例外登録(Windows)

hcmdsfwcancelコマンドおよびnetshコマンドを実行して,Hitachi Command Suiteを構成する各コンポーネントをファイアウォールの例外リストに登録します。

ファイアウォールの例外リストに登録するには:

  1. 次のコマンドを実行して,Hitachi Command Suite共通Webサービスを例外リストに登録します。
    Hitachi Command Suite 共通コンポーネントのインストールフォルダ\bin\hcmdsfwcancel.bat
  2. 次のコマンドを実行して,Hitachi Command Suiteで使用するそのほかのコンポーネントを例外リストに登録します。

    Windows XP,Windows Server 2003 R2,Windows VistaまたはWindows Server 2008の場合
    netsh firewall add allowedprogram program="パス" name="例外登録名" mode=ENABLE

    Windows 7,Windows Server 2008 R2またはWindows Server 2012の場合
    netsh advfirewall firewall add rule name="例外登録名" dir=in action=allow program=" パス" description="パス" enable=yes
  3. 設定を有効にするために,Hitachi Command Suite製品のサービスを再起動します。

表2-22 netshコマンドで指定する例外登録名とパス

コンポーネント 例外登録名 パス
Device Managerサーバ Device Manager Device Managerサーバのインストールフォルダ\HiCommandServer\HiCommandServer.exe
Tiered Storage Managerサーバ Tiered Storage Manager(htsmService) Tiered Storage Managerサーバのインストールフォルダ\bin\htsmService.exe
Tiered Storage Manager(htsmHDvMUser) Tiered Storage Managerサーバのインストールフォルダ\inst\htsmHDvMUser.exe
Tiered Storage Manager(htsmVersion) Tiered Storage Managerサーバのインストールフォルダ\inst\htsmVersion.exe
Tiered Storage Manager(schemaDrop) Tiered Storage Managerサーバのインストールフォルダ\inst\schemaDrop.exe
Tiered Storage Manager(schemaCreate) Tiered Storage Managerサーバのインストールフォルダ\inst\schemaCreate.exe
JDK HBase(cmd)

Windows XPまたはWindows Server 2003 R2の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ\jdk\jre\bin\java.exe

Windows Vista,Windows 7,Windows Server 2008,Windows Server 2008 R2またはWindows Server 2012の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ\jdk5_0\jre\bin\java.exe
HBase(cmd)

Windows XPまたはWindows Server 2003 R2の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ\jdk\bin\java.exe

Windows Vista,Windows 7,Windows Server 2008,Windows Server 2008 R2またはWindows Server 2012の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ\jdk5_0\bin\java.exe

注※
Hitachi Command Suiteに同梱されているJDK以外のJDKを使用する場合は,使用するJDKのインストールフォルダにあるjava.exeを絶対パスで指定してください。

関連項目

(3) ファイアウォールの例外登録(Red Hat Enterprise Linux)

テキストモードセットアップユーティリティを使用して,Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。

ファイアウォールの例外リストに登録するには:

  1. ターミナルウィンドウからsetupコマンドを実行します。
    テキストモードセットアップユーティリティの[ツール選択]画面が表示されます。
  2. ファイヤーウォールの設定]を選択し,[Tab]キーで[実行ツール]ボタンへ移動し,[Enter]キーを押します。
    [ファイアウォール設定]画面が表示されます。
  3. セキュリティレベル]を[有効]に合わせ,スペースキーを押してチェックを入れ,[Tab]キーで[カスタマイズ]ボタンへ移動し,[Enter]キーを押します。
    ファイアウォール設定-カスタマイズ]画面が表示されます。
  4. その他のポート]に例外登録するポートを指定し,[Tab]キーで[OK]ボタンへ移動し,[Enter]キーを押します。
    (例)
    その他のポート 162:udp 2001:tcp 23015:tcp
    重要
    すでにポートが指定されていた場合は,空白区切りで追加入力してください。
  5. [ファイアウォール設定]画面に戻ったら,[セキュリティレベル]が[有効]になっていることを確認し,[Tab]キーで[OK]ボタンへ移動し,[Enter]キーを押します。

関連項目

(4) ファイアウォールの例外登録(SUSE Linux Enterprise Server)

SuSEfirewall2ファイルを編集して,Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。

ファイアウォールの例外リストに登録するには:

  1. /etc/sysconfig/SuSEfirewall2ファイルを編集して,例外登録するポートを指定します。
    例外登録するポート番号を次の形式で指定します。
    • FW_SERVICES_EXT_TCP=”TCPポート番号
    • FW_SERVICES_EXT_UDP=”UDPポート番号
    次に示す例では,2001,23015,23016,23017,23018,161および162だけが例外登録されます。
    FW_SERVICES_EXT_TCP=”2001 23015:23018”
    FW_SERVICES_EXT_UDP=”161 162”
    
  2. /sbin/SuSEfirewall2を実行します。

関連項目

[目次] [前へ] [次へ]


All Rights Reserved. Copyright© 2010, 2014, Hitachi, Ltd.