2.3.4 ファイアウォールを設定した環境での通信
JP1/AJS3では,ファイアウォールを挟んでJP1/AJS3 - Manager,JP1/AJS3 - Agent,またはJP1/AJS3 - Viewを接続するシステム構成に対応しています。
ファイアウォールを設定したシステム構成例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020065.GIF)
(2) JP1/AJS3の通信
JP1/AJS3の通信について,ポート番号,IPアドレス,アドレス変換(NAT)の対応を説明します。
(a) ポート番号
■ JP1/AJS3のポート番号
JP1/AJS3では次のポート番号を使用します。このほかに,前提製品であるJP1/Baseのポート番号も使用します。
JP1/AJS3のポート番号については,「付録A.1 ポート番号一覧」を参照してください。
■ 主なシステム構成と通信
主なシステム構成と通信について説明します。
なお,ここでの説明とあわせて,次のマニュアルの記述を参照してください。
- 参照個所
-
-
マニュアル「JP1/Base 運用ガイド」のファイアウォールの通過方向の説明
-
- 注意事項
-
ファイアウォールのホストでJP1を使用する場合,自ホスト内の通信については,JP1が使うすべてのポートを通過できるよう設定してください。これは,自ホスト内の処理でもJP1のプロセス同士の通信にポートを使用するためです。
次のシステム構成を例に,使用するポート番号と通信の方向について説明します。
|
|
![[図データ]](GRAPHICS/ZH020080.GIF)
-
HOST-M1に,HOST-VのJP1/AJS3 - Viewで接続する。
-
HOST-M1とHOST-M2は,相互にジョブを実行する。
-
HOST-M1のエージェントとして,HOST-Aを設定する。
-
HOST-M1の認証サーバを,HOST-AUTHに設定する。
-
HOST-M1に,HOST-WEBのJP1/AJS3 - Web Consoleで接続する。
-
HOST-WEBに,HOST-CLのWebブラウザーで接続する。
- JP1/AJS3 - ViewとJP1/AJS3 - Managerの通信
-
JP1/AJS3 - ViewとJP1/AJS3 - Managerの通信を次の表に示します。
システム構成例のHOST-VとHOST-M1に対応しています。
表2‒10 JP1/AJS3 - ViewとJP1/AJS3 - Managerの通信 JP1/AJS3 - View
方向
JP1/AJS3 - Manager
(ANY)
→
20244/tcp(jp1ajs2monitor)
- JP1/AJS3 - ManagerとJP1/AJS3 - Managerの通信
-
JP1/AJS3 - ManagerとJP1/AJS3 - Managerの通信を次の表に示します。
システム構成例のHOST-M1とHOST-M2に対応しています。
表2‒11 JP1/AJS3 - ManagerとJP1/AJS3 - Managerの通信 JP1/AJS3 - Manager
方向
JP1/AJS3 - Manager
(ANY)
→
20241/tcp(jp1ajs2qman)
20242/tcp(jp1ajs2qagt)
20243/tcp(jp1ajs2qnfy)
20244/tcp(jp1ajs2monitor)
20245/tcp(jp1ajs2report)
20246/tcp(jp1ajs2eamgr)
20247/tcp(jp1ajs2eaagt)
20300/tcp(jp1ajs2qlagt)
20301/tcp(jp1ajs2qlftp)
23139/tcp(jp1ajs2chkagt)
23160/tcp(jp1ajs2gw)
20241/tcp(jp1ajs2qman)
20242/tcp(jp1ajs2qagt)
20243/tcp(jp1ajs2qnfy)
20244/tcp(jp1ajs2monitor)
20245/tcp(jp1ajs2report)
20246/tcp(jp1ajs2eamgr)
20247/tcp(jp1ajs2eaagt)
20300/tcp(jp1ajs2qlagt)
20301/tcp(jp1ajs2qlftp)
23139/tcp(jp1ajs2chkagt)
23160/tcp(jp1ajs2gw)
←
(ANY)
- JP1/AJS3 - ManagerとJP1/AJS3 - Agentの通信
-
JP1/AJS3 - ManagerとJP1/AJS3 - Agentの通信を次の表に示します。
システム構成例のHOST-M1とHOST-Aに対応しています。
表2‒12 JP1/AJS3 - ManagerとJP1/AJS3 - Agentの通信 JP1/AJS3 - Manager
方向
JP1/AJS3 - Agent
(ANY)
→
20242/tcp(jp1ajs2qagt)
20247/tcp(jp1ajs2eaagt)
20300/tcp(jp1ajs2qlagt)
23139/tcp(jp1ajs2chkagt)
20241/tcp(jp1ajs2qman)
20243/tcp(jp1ajs2qnfy)
20246/tcp(jp1ajs2eamgr)
20301/tcp(jp1ajs2qlftp)
←
(ANY)
- JP1/AJS3 - ManagerとJP1/Base(認証サーバ)の通信
-
JP1/AJS3 - ManagerとJP1/Base(認証サーバ)の通信を次の表に示します。
システム構成例のHOST-M1とHOST-AUTHに対応しています。
表2‒13 JP1/AJS3 - ManagerとJP1/Base(認証サーバ)の通信 JP1/AJS3 - Manager
方向
JP1/Base
(ANY)
→
20240/tcp(jp1bsuser)
- JP1/AJS3 - Web ConsoleとJP1/AJS3 - Managerの通信
-
JP1/AJS3 - Web ConsoleとJP1/AJS3 - Managerの通信を次の表に示します。
システム構成例のHOST-WEBとHOST-M1に対応しています。
表2‒14 JP1/AJS3 - Web ConsoleとJP1/AJS3 - Managerの通信 JP1/AJS3 - Web Console
方向
JP1/AJS3 - Manager
(ANY)
→
22250/tcp(jp1ajs3cdinetd)
- JP1/AJS3 - Web ConsoleとWebブラウザーの通信
-
JP1/AJS3 - Web ConsoleとWebブラウザーの通信を次の表に示します。
システム構成例のHOST-WEBとHOST-CLに対応しています。
表2‒15 JP1/AJS3 - Web ConsoleとWebブラウザーの通信 Webブラウザー
方向
JP1/AJS3 - Web Console
(ANY)
→
22252/tcp(jp1ajs3web)
22253/tcp(jp1ajs3webssl)
- JP1/AJS3 - Manager,中継エージェント,宛先エージェントおよび一斉配信エージェントの通信
-
フレキシブルジョブを使用する場合の,JP1/AJS3 - Manager,中継エージェント,宛先エージェントおよび一斉配信エージェントの通信を次の表に示します。
表2‒16 JP1/AJS3 - ManagerとJP1/AJS3(中継エージェント)の通信 JP1/AJS3 - Manager
方向
JP1/AJS3 - Manager(中継エージェント)
JP1/AJS3 - Agent(中継エージェント)
(ANY)
→
20242/tcp(jp1ajs2qagt)
20241/tcp(jp1ajs2qman)
20243/tcp(jp1ajs2qnfy)
←
(ANY)
表2‒17 JP1/AJS3(中継エージェント)とJP1/AJS3(宛先エージェント)の通信 JP1/AJS3 - Manager(中継エージェント)
JP1/AJS3 - Agent(中継エージェント)
方向
JP1/AJS3 - Manager(宛先エージェント)
JP1/AJS3 - Agent(宛先エージェント)
(ANY)
→
22251/tcp(jp1ajs2atmsg)
22251/tcp(jp1ajs2atmsg)
←
(ANY)
表2‒18 JP1/AJS3(中継エージェント)とJP1/AJS3(一斉配信エージェント)の通信 JP1/AJS3 - Manager(中継エージェント)
JP1/AJS3 - Agent(中継エージェント)
方向
JP1/AJS3 - Manager(一斉配信エージェント)
JP1/AJS3 - Agent(一斉配信エージェント)
(ANY)
→
22251/tcp(jp1ajs2atmsg)
22251/tcp(jp1ajs2atmsg)
←
(ANY)
表2‒19 JP1/AJS3(一斉配信エージェント)とJP1/AJS3(宛先エージェント)の通信 JP1/AJS3 - Manager(一斉配信エージェント)
JP1/AJS3 - Agent(一斉配信エージェント)
方向
JP1/AJS3 - Manager(宛先エージェント)
JP1/AJS3 - Agent(宛先エージェント)
(ANY)
→
22251/tcp(jp1ajs2atmsg)
22251/tcp(jp1ajs2atmsg)
←
(ANY)
(ANY)
→
22251/udp(jp1ajs2atmsg)
22251/udp(jp1ajs2atmsg)
←
(ANY)
- JP1/AJS3とメールサーバの通信
-
Outlookを使用しないでメールシステム連携を行う場合の,JP1/AJS3とメールサーバ間の通信を次の表に示します。
表2‒20 JP1/AJS3とメールサーバの通信 JP1/AJS3
方向
メールサーバ
(ANY)
→
25/tcp(smtp)
(ANY)
→
110/tcp(pop3)
(ANY)
→
587/tcp(Submission Port)
- JP1/AJS3 - Managerと他プログラムの通信
-
その他の構成として,他プログラム(JP1/NQSEXECやJP1/OJE for VOS3などのジョブ連携用の他製品)を使う場合の通信を次の表に示します。
表2‒21 JP1/AJS3 - Managerと他プログラム JP1/AJS3 - Manager
方向
他プログラム
(ANY)
→
20241/tcp(jp1ajs2qman)
20241/tcp(jp1ajs2qman)
20245/tcp(jp1ajs2report)
←
(ANY)
- 注意事項
-
他プログラムからJP1/AJS3 - Managerに登録されたジョブの状態通知を,他プログラムで受信する場合,他プログラムで指定するジョブ状態通知ポートを「マネージャー → 他プログラム」の方向に通過させる必要があります。
(b) IPアドレス
JP1/AJS3が使うIPアドレスは,JP1/Baseが使うIPアドレスに準じます。詳しくは,マニュアル「JP1/Base 運用ガイド」を参照してください。
なお,バージョン互換のため,イベントジョブの実行で使用する送信側IPアドレスだけJP1/Baseが使う送信側IPアドレスに準ずるか,受信側IPアドレスに準ずるかを選択できます。
(c) アドレス変換(NAT)の対応
JP1/AJS3は,スタティック・モードでのアドレス変換(NAT)に対応しています。
- 注意事項
-
-
エージェントとマネージャー間の通信でNATを使用している場合,定義内容の事前チェックでは実行エージェント名のチェック項目を正しくチェックできません。
-
スケジューラーサービス間および同一ホスト内での実行順序制御機能(ジョブネットコネクタ)は,NATを経由して使用できません。
-
(3) ファイアウォールを設定した環境の構成例と通信設定
ファイアウォールを設定した環境で,クラスタ運用しない場合とクラスタ運用する場合の構成例と通信設定について説明します。
(a) クラスタ運用しない場合のファイアウォールの構成例と通信設定
ファイアウォールを設定した環境で,クラスタ運用していない場合の構成例と通信設定について説明します。クラスタ運用していない場合のファイアウォールの構成例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020135.GIF)
ホストhostXとホストhostA間の通信に対して,ファイアウォールを透過する設定がされています。このシステム構成では,ファイアウォールでの設定以外には,JP1/AJS3側で特別な設定をする必要はありません。
(b) クラスタ運用する場合のファイアウォールの構成例と通信設定
ファイアウォールを設定した環境で,クラスタ運用する場合の構成例と通信設定について説明します。クラスタ運用する場合のファイアウォールの構成例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020140.GIF)
ホストhostXとホストhostAの間と,ホストhostLとホストhostAの間の両方の通信に対して,ファイアウォールを透過する設定がされている場合は,前述の「(a) クラスタ運用しない場合のファイアウォールの構成例と通信設定」と同様に,JP1/AJS3側で特別な設定をする必要はありません。
物理ホストのサービスを使用しないで論理ホストだけで運用して,ホストhostLとホストhostAの間の通信に対してだけ,ファイアウォールを透過する設定がされている場合には,送信方法をIPバインド方式に設定する必要があります。送信方法をIPバインド方式に設定する手順については,マニュアル「JP1/Base 運用ガイド」の通信設定の章を参照してください。
- 注意事項
-
ホストhostX(物理ホスト)とホストhostAの間の通信に対して,ファイアウォールを透過する設定をしないと,キューレスジョブ実行時にファイアウォールの透過はできません。キューレスジョブを使用する場合は,物理ホストからの通信を透過できる環境にしてください。