2.1.3 ファイアウォールの例外登録

Hitachi Command Suite製品で使用されるポートやプロセスをファイアウォールに例外登録すると,登録されたポートやプロセスへの外部からの接続が許可されます。

重要
運用開始後にWindowsファイアウォールを有効にした場合や管理サーバのOSにLinuxを使用する場合,管理サーバに接続されているネットワーク上にファイアウォールが設置されているときは,管理サーバで使用されるポートについては,Hitachi Command Suiteのインストール後にユーザーが手動で例外登録を行う必要があります。
  • Windowsの場合
    Hitachi Command Suiteを構成する各コンポーネントをファイアウォールの例外リストに登録します。
  • Linuxの場合
    Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。
この項の構成
(1) ファイアーウォールへの例外登録が必要なポート
(2) ファイアウォールの例外登録(Windows)
(3) ファイアウォールの例外登録(Red Hat Enterprise Linux)
(4) ファイアウォールの例外登録(SUSE Linux Enterprise Server)

(1) ファイアーウォールへの例外登録が必要なポート

管理サーバや管理クライアント,ストレージシステムなどをつなぐネットワーク上にファイアウォールが設置されている環境では,Hitachi Command Suite製品で使用されるポートをファイアウォールの例外として登録する必要があります。

表2-8 管理サーバと管理クライアントとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理クライアント
(GUI,Device Manager CLI)
2001/tcp管理サーバ非SSL通信の場合に設定が必要です。
any/tcp管理クライアント
(GUI,Device Manager CLI)
2443/tcp管理サーバSSL通信の場合に設定が必要です。
any/tcp管理クライアント
(Tiered Storage Manager CLI)
20352/tcp管理サーバ非SSL通信の場合に設定が必要です。
any/tcp管理クライアント
(GUI)
23015/tcp管理サーバ非SSL通信の場合に設定が必要です。
any/tcp管理クライアント
(GUI)
23016/tcp管理サーバSSL通信の場合に設定が必要です。
any/tcp管理クライアント
(Tiered Storage Manager CLI)
24500/tcp管理サーバSSL通信の場合に設定が必要です。
注※
ポート番号は変更できます。

表2-9 管理サーバとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/udp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
162/udp管理サーバ-
any/tcp管理サーバ443/tcp
  • Virtual Storage Platform
  • HUS VM
-
any/tcp管理サーバ1099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp管理サーバ2000/tcp
  • Hitachi AMS/WMS
  • SANRISE9500V
-
any/tcp管理サーバ2000/tcp
  • HUS100
  • Hitachi SMS
  • Hitachi AMS2000
非SSLで通信する場合に設定が必要です。
any/tcp
  • Universal Storage Platform V/VM
  • Hitachi USP
2001/tcp管理サーバストレージシステムの任意のポートから管理サーバの2001/tcpポートに通信できるよう,ファイアウォールを設定してください。
any/tcp管理サーバ28355/tcp
  • HUS100
  • Hitachi SMS
  • Hitachi AMS2000
SSLで通信する場合に設定が必要です。
any/tcp管理サーバ51099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp管理サーバ51100/tcp
  • Universal Storage Platform V/VM
バージョン6.0.0-00以降のDevice Managerサーバにアップグレードインストールした際に設定が必要です。
any/tcp管理サーバ51100/tcp
  • Virtual Storage Platform
-
(凡例)
-:該当なし
注※
ポート番号は変更できます。

表2-10 管理クライアントとストレージシステムとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理クライアント
(GUI)
80/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp管理クライアント
(GUI)
443/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • HUS VM
SSLでElement Managerを使用する場合に設定が必要です。
any/tcp管理クライアント
(GUI)
1099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp管理クライアント
(GUI)
51099/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • Hitachi USP
  • SANRISE9900V
  • HUS VM
-
any/tcp管理クライアント
(GUI)
51100/tcp
  • Virtual Storage Platform
  • Universal Storage Platform V/VM
  • HUS VM
-
(凡例)
-:該当なし

表2-11 管理サーバと通常ホストとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp
  • 通常ホスト
  • 仮想マシン
2001/tcp管理サーバ-
any/tcp管理サーバ24041/tcp
  • 通常ホスト
  • 仮想マシン
-
any/tcp管理サーバ24042/tcp
  • 通常ホスト
  • 仮想マシン
-
(凡例)
-:該当なし
注※
ポート番号は変更できます。

表2-12 管理サーバと仮想化サーバとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理サーバ443/tcp
  • VMware ESX
  • VMware ESXを管理しているVMware vCenter Server
NPIVを使用して仮想WWNを仮想マシンに割り当てている場合に設定が必要です。
any/tcp管理サーバ5988/tcpvMAvMAを使用する構成で,かつ非SSL通信の場合に設定が必要です。
any/tcp管理サーバ5988/tcpVMware ESXvMAを使用しない構成で,かつ非SSL通信の場合に設定が必要です。
any/tcp管理サーバ5989/tcpvMAvMAを使用する構成で,かつSSL通信の場合に設定が必要です。
any/tcp管理サーバ5989/tcpVMware ESXvMAを使用しない構成で,かつSSL通信の場合に設定が必要です。

表2-13 管理サーバとメインフレームホストとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理サーバ24042/tcpメインフレームホスト-
(凡例)
-:該当なし
注※
ポート番号は変更できます。

表2-14 管理サーバとファイルサーバとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp
  • Hitachi Virtual File Platform
  • Hitachi NAS Platform
2001/tcp管理サーバ-
any/tcp管理サーバ8443/tcpHitachi NAS Platform-
(凡例)
-:該当なし
注※
ポート番号は変更できます。

表2-15 Device Managerの管理サーバとTuning Managerの管理サーバとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcpDevice Managerの管理サーバ22286/tcp※1Tuning Managerの管理サーバリモート接続されたTuning Managerから,パリティグループの利用率やボリュームのIOPSなどの性能情報を取得する場合に設定が必要です。
any/tcpDevice Managerの管理サーバ22900/tcp~22999/tcpTuning Managerの管理サーバTuning Managerとリモート接続する場合に設定が必要です。
any/tcpDevice Managerの管理サーバ45001/tcp~49000/tcpTuning Managerの管理サーバ-
any/tcpTuning Managerの管理サーバ23015/tcp※1Device Managerの管理サーバTuning Managerとリモート接続する場合に設定が必要です。
any/tcpTuning Managerの管理サーバ23032/tcp※2Device Managerの管理サーバ-
any/tcpTuning Managerの管理サーバ24220/tcp※2Device Managerの管理サーバTuning Managerとリモート接続する場合に設定が必要です。
any/tcpTuning Managerの管理サーバ1024/tcp~65535/tcp※3Device Managerの管理サーバリモート接続されたTuning Managerから,パリティグループの利用率やボリュームのIOPSなどの性能情報を取得する場合に設定が必要です。
(凡例)
-:該当なし
注※1
ポート番号は変更できます。
注※2
ポート番号は5001~65535の範囲で変更できます。
注※3
Device ManagerとTuning ManagerのView Serverとの通信で使用されるポート番号です。config.xmlファイルおよびconfigforclient.xmlファイルのownPortパラメーターに設定したポート番号を登録してください。config.xmlファイルおよびconfigforclient.xmlファイルについては,「(6) config.xmlファイルおよびconfigforclient.xmlファイルの設定」を参照してください。

表2-16 管理サーバとHost Data Collectorをインストールしたマシンとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理サーバ22098/tcpHost Data Collectorをインストールしたマシン次の条件をすべて満たすときに設定が必要です。
  • Host Data Collectorを管理サーバとは別のマシンにインストールしたとき
  • 非SSL通信のとき
any/tcp管理サーバ22099/tcpHost Data Collectorをインストールしたマシン
any/tcp管理サーバ22100/tcpHost Data Collectorをインストールしたマシン
any/tcp管理サーバ22104/tcpHost Data Collectorをインストールしたマシン次の条件をすべて満たすときに設定が必要です。
  • Host Data Collectorを管理サーバとは別のマシンにインストールしたとき
  • SSL通信のとき
any/tcp管理サーバ22105/tcpHost Data Collectorをインストールしたマシン
any/tcp管理サーバ22106/tcpHost Data Collectorをインストールしたマシン
注※
ポート番号は変更できます。

表2-17 Host Data Collectorをインストールしたマシンとホストとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcpHost Data Collectorをインストールしたマシン22/tcp通常ホスト管理対象の通常ホストのOSがUNIXの場合に設定が必要です。
any/tcpHost Data Collectorをインストールしたマシン80/tcp
  • VMware ESX
  • VMware ESXを管理しているVMware vCenter Server
管理対象の仮想化サーバと非SSLで通信する場合に設定が必要です。
any/tcpHost Data Collectorをインストールしたマシン139/tcp通常ホスト管理対象の通常ホストのOSがWindowsの場合に設定が必要です。
any/tcpHost Data Collectorをインストールしたマシン443/tcp
  • VMware ESX
  • VMware ESXを管理しているVMware vCenter Server
管理対象の仮想化サーバとSSLで通信する場合に設定が必要です。
注※
ポート番号は変更できます。

表2-18 管理サーバとSMI-Sプロバイダーとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcpSMI-Sプロバイダー5983/tcp管理サーバ-
any/tcp管理サーバ5988/tcpSMI-Sプロバイダー非SSL通信の場合に設定が必要です。
any/tcp管理サーバ5989/tcpSMI-SプロバイダーSSL通信の場合に設定が必要です。
(凡例)
-:該当なし
注※
ポート番号は変更できます。

表2-19 管理サーバとCIMクライアントとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcpCIMクライアント427/tcp管理サーバ-
any/tcpCIMクライアント5988/tcp管理サーバ非SSL通信の場合に設定が必要です。
any/tcpCIMクライアント5989/tcp管理サーバSSL通信の場合に設定が必要です。
(凡例)
-:該当なし
注※
ポート番号は変更できます。

表2-20 管理サーバとメールサーバとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理サーバ(Device Managerサーバ)25/tcp※1メールサーバ※2次の事象をEメールでユーザーに通知する場合に設定が必要です。
  • ストレージシステムでのアラートの発生
  • [データマイグレーション]ウィザードから実行したタスクの完了
any/tcp管理サーバ (Tiered Storage Manager サーバ)25/tcp※1メールサーバ※3次の事象をEメールでユーザーに通知する場合に設定が必要です。
  • Tiered Storage Manager CLIで実行したタスクの終了
  • LegacyモードのTiered Storage Manager GUI([マイグレーション]ウィザード)で実行したタスクの終了
  • ボリュームロック期限の満了
  • マイグレーショングループの指定期間の経過
any/tcp管理サーバ
(Storage Navigator Modular 2)
25/tcpメールサーバ※4操作対象のストレージシステムがHitachi AMS/WMSまたはSANRISE9500Vで,かつStorage Navigator Modular 2のEメール障害報告機能を利用する場合に設定が必要です。
注※1
ポート番号は変更できます。
注※2
Device Managerサーバのserver.mail.smtp.hostプロパティに指定したメールサーバです。
注※3
Tiered Storage Managerサーバのserver.mail.smtp.hostプロパティに指定したメールサーバです。
注※4
Storage Navigator Modular 2で,ストレージシステムの障害報告を発信できるように設定したメールサーバです。

表2-21 管理サーバと外部認証サーバとの間のファイアウォールで例外登録が必要なポート番号

通信元通信先備考
ポート番号マシンポート番号マシン
any/tcp管理サーバ88/tcpKerberosサーバ-
any/udp管理サーバ88/udpKerberosサーバ-
any/tcp管理サーバ359/tcpLDAPディレクトリサーバ-
any/udp管理サーバ1812/udpRADIUSサーバ-
(凡例)
-:該当なし
注※
一般的に使用されるポート番号です。外部認証サーバで変更されていることがあります。

関連項目

(2) ファイアウォールの例外登録(Windows)

hcmdsfwcancelコマンドおよびnetshコマンドを実行して,Hitachi Command Suiteを構成する各コンポーネントをファイアウォールの例外リストに登録します。

ファイアウォールの例外リストに登録するには:

  1. 次のコマンドを実行して,Hitachi Command Suite共通Webサービスを例外リストに登録します。
    Hitachi Command Suite 共通コンポーネントのインストールフォルダ¥bin¥hcmdsfwcancel.bat
  2. 次のコマンドを実行して,Hitachi Command Suiteで使用するそのほかのコンポーネントを例外リストに登録します。
    Windows XP,Windows Server 2003 R2,Windows VistaまたはWindows Server 2008の場合
    netsh firewall add allowedprogram program="パス" name="例外登録名" mode=ENABLE
    Windows 7,Windows Server 2008 R2またはWindows Server 2012の場合
    netsh advfirewall firewall add rule name="例外登録名" dir=in action=allow program=" パス" description="パス" enable=yes
  3. 設定を有効にするために,Hitachi Command Suite製品のサービスを再起動します。

表2-22 netshコマンドで指定する例外登録名とパス

コンポーネント例外登録名パス
Device ManagerサーバDevice ManagerDevice Managerサーバのインストールフォルダ¥HiCommandServer¥HiCommandServer.exe
Tiered Storage ManagerサーバTiered Storage Manager(htsmService)Tiered Storage Managerサーバのインストールフォルダ¥bin¥htsmService.exe
Tiered Storage Manager(htsmHDvMUser)Tiered Storage Managerサーバのインストールフォルダ¥inst¥htsmHDvMUser.exe
Tiered Storage Manager(htsmVersion)Tiered Storage Managerサーバのインストールフォルダ¥inst¥htsmVersion.exe
Tiered Storage Manager(schemaDrop)Tiered Storage Managerサーバのインストールフォルダ¥inst¥schemaDrop.exe
Tiered Storage Manager(schemaCreate)Tiered Storage Managerサーバのインストールフォルダ¥inst¥schemaCreate.exe
JDKHBase(cmd)
Windows XPまたはWindows Server 2003 R2の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ¥jdk¥jre¥bin¥java.exe
Windows Vista,Windows 7,Windows Server 2008,Windows Server 2008 R2またはWindows Server 2012の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ¥jdk5_0¥jre¥bin¥java.exe
HBase(cmd)
Windows XPまたはWindows Server 2003 R2の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ¥jdk¥bin¥java.exe
Windows Vista,Windows 7,Windows Server 2008,Windows Server 2008 R2またはWindows Server 2012の場合
Hitachi Command Suite共通コンポーネントのインストールフォルダ¥jdk5_0¥bin¥java.exe
注※
Hitachi Command Suiteに同梱されているJDK以外のJDKを使用する場合は,使用するJDKのインストールフォルダにあるjava.exeを絶対パスで指定してください。

関連項目

(3) ファイアウォールの例外登録(Red Hat Enterprise Linux)

テキストモードセットアップユーティリティを使用して,Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。

ファイアウォールの例外リストに登録するには:

  1. ターミナルウィンドウからsetupコマンドを実行します。
    テキストモードセットアップユーティリティの[ツール選択]画面が表示されます。
  2. ファイヤーウォールの設定]を選択し,[Tab]キーで[実行ツール]ボタンへ移動し,[Enter]キーを押します。
    [ファイアウォール設定]画面が表示されます。
  3. セキュリティレベル]を[有効]に合わせ,スペースキーを押してチェックを入れ,[Tab]キーで[カスタマイズ]ボタンへ移動し,[Enter]キーを押します。
    ファイアウォール設定-カスタマイズ]画面が表示されます。
  4. その他のポート]に例外登録するポートを指定し,[Tab]キーで[OK]ボタンへ移動し,[Enter]キーを押します。
    (例)
    その他のポート 162:udp 2001:tcp 23015:tcp
    重要
    すでにポートが指定されていた場合は,空白区切りで追加入力してください。
  5. [ファイアウォール設定]画面に戻ったら,[セキュリティレベル]が[有効]になっていることを確認し,[Tab]キーで[OK]ボタンへ移動し,[Enter]キーを押します。

関連項目

(4) ファイアウォールの例外登録(SUSE Linux Enterprise Server)

SuSEfirewall2ファイルを編集して,Hitachi Command Suiteで使用されるポート番号をファイアウォールの例外リストに登録します。

ファイアウォールの例外リストに登録するには:

  1. /etc/sysconfig/SuSEfirewall2ファイルを編集して,例外登録するポートを指定します。
    例外登録するポート番号を次の形式で指定します。
    • FW_SERVICES_EXT_TCP=”TCPポート番号
    • FW_SERVICES_EXT_UDP=”UDPポート番号
    次に示す例では,2001,23015,23016,23017,23018,161および162だけが例外登録されます。

    FW_SERVICES_EXT_TCP=”2001 23015:23018”
    FW_SERVICES_EXT_UDP=”161 162”

  2. /sbin/SuSEfirewall2を実行します。

関連項目