付録C.2 ファイアウォールの通過方向
Performance Managementのファイアウォールの通過方向について説明します。
システム構成例でPerformance Managementとファイアウォールの関係を次の図に示します。各ホストの間にファイアウォールがある場合は,通過設定が必要になります。
ファイアウォール通過方向には,次の状態があります。
-
WebブラウザとPFM - Web Console間のファイアウォール
-
PFM - Web ConsoleとPFM - Manager間のファイアウォール
-
PFM - Managerと,PFM - Agent,PFM - RMまたはPFM - Base間のファイアウォール
-
PFM - Agent,PFM - RMまたはPFM - BaseとほかのPFM - Agent,PFM - RMまたはPFM - Base間のファイアウォール
それぞれの状態での,ファイアウォールの通過設定を説明します。なお,ファイアウォールの通過方向の各表の凡例と注は次のとおりです。
- (凡例)
-
→:通信(コネクション)を開始する方向
- 注※1
-
通信(コネクション)が開始したあと,確立されたセッション間で送受信をします。確立されたセッションに対する返信についても通過できるように設定してください。
- 注※2
-
通信(コネクション)を開始するときは,接続する側はOSによって割り当てられる空きポート番号を送信ポートとして使用します。このため,送信ポートは任意のポート番号を通過できるように設定してください。
- 注※3
-
jpcconf port defineコマンドによってポート番号を固定できます。また,パラメーターはポート番号の固定時にjpcconf port list -key allコマンドで出力されたServices欄に表示される値です。
- 注※4
-
クラスタシステム運用の場合のPerformance Managementのサービスのステータスの確認では,接続するホストから接続されるホストのStatus Serverサービスに対して,物理ホスト,論理ホストそれぞれのホスト名(IPアドレス)で通信をします。
そのため,Status Serverサービスに対して実施される通信については接続するホストから物理ホスト,論理ホスト両方のホスト名(IPアドレス)に対する通信について,jp1pcstatsvrに設定されているポート番号を通過できるようにしてください。
例えば,PFM - Managerから,PFM - Agent,PFM - RMまたはPFM - Baseホストへの通信で,Status Serverサービスに対して設定する場合は,次の両方のホスト名(IPアドレス)に対する通信について,jp1pcstatsvrに設定されているポート番号を通過できるように設定します。
-
PFM - Agent,PFM - RMまたはPFM - Baseホスト(物理ホスト)
-
PFM - Agent,PFM - RMまたはPFM - Baseホスト(論理ホスト)
-
- 〈この項の構成〉
(1) Webブラウザ,PFM - Web Console,PFM - Manager間のファイアウォール
Webブラウザ,PFM - Web Console,PFM - Manager間のファイアウォールのポート通過について次の図に示します。
次に,PFM - Web ConsoleとPFM - Manager間のIP通過について次の図に示します。
対象ホスト間で通信できるIPについて通過設定が必要です。○が付いたIPについて送受信ができるようにファイアウォールを通過設定してください。
×が付いたIPについてはPFM - Web ConsoleとPFM - Manager間では使用しないので通過設定は不要です。
(a) WebブラウザからPFM - Web Consoleへの通信間にファイアウォールがある場合
ファイアウォールを挟んでWebブラウザからPFM - Web Consoleに接続する場合は,ポート番号を次の表に示す方向で設定し,ファイアウォールを通過させるようにしてください。
Webブラウザ使用ホスト |
通過方向※1 |
PFM - Web Consoleホスト |
---|---|---|
Any※2 |
→ |
20358 (デフォルト) |
Webブラウザで一時的に使用される送信ポートが,PFM - Web Consoleの受信ポート「20358」(デフォルトの場合)を通過できるようにファイアウォールを設定してください。
(b) PFM - Web ConsoleからPFM - Managerへの通信間にファイアウォールがある場合
ファイアウォールを挟んでPFM - Web ConsoleからPFM - Managerに接続する場合は,ポート番号を次の表に示す方向で設定し,ファイアウォールを通過させるようにしてください。
PFM - Web Consoleホスト |
通過方向※1 |
PFM - Managerホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcvsvr |
PFM - Web Consoleで一時的に使用される送信ポートが,PFM - Managerの受信ポートを通過できるようにファイアウォールを設定してください。
(c) PFM - ManagerからPFM - Web Consoleへの通信間にファイアウォールがある場合
ファイアウォールを挟んでPFM - ManagerとPFM - Web Consoleを配置する場合は,VPNを使用することをお勧めします。VPNが使用できない場合,コールバックポート番号を設定してください。
コールバックポート番号は,PFM - Web Consoleホストの初期設定ファイル(config.xml)で設定します。項目を次に示します。
PFM - Managerホスト |
通過方向※1 |
PFM - Web Consoleホスト |
---|---|---|
Any※2 |
→ |
PFM - Web Consoleサービスが使用するコールバックポート番号(ownPort) |
PFM - Web Consoleコマンドが使用するコールバックポート番号(ownCmdPort) |
PFM - Managerで一時的に使用される送信ポートが,PFM - Web Consoleの受信ポートに通過できるようにファイアウォールを設定してください。
設定できる値の詳細については,「初期設定ファイル(config.xml)」を参照してください。
初期設定ファイル(config.xml)の変更を有効にするには,PFM - Web Consoleの再起動が必要です。また,指定された以外の個所を変更すると,PFM - Web Consoleが正常に動作しない場合がありますので,注意してください。
設定例を次に示します。
設定後,表に示す方向で,各ポート番号をファイアウォールで通過させます。
(2) PFM - Managerと,PFM - AgentまたはPFM - RM間のファイアウォール
PFM - Managerと,PFM - AgentまたはPFM - RM間のファイアウォールのポート通過について次の図に示します。
PFM - AgentまたはPFM - RMと,PFM - Manager間のファイアウォールのポート通過について次の図に示します。
次に,PFM - Managerと,PFM - AgentまたはPFM - RM間のIP通過について次の図に示します。
対象ホスト間で通信できるIPについて通過設定が必要です。○が付いたIPについて送受信ができるようにファイアウォールを通過設定してください。
×が付いたIPについてはPFM - Managerと,PFM - AgentまたはPFM - RM間では使用しないので通過設定は不要です。
(a) PFM - ManagerからPFM - Agent,PFM - RMまたはPFM - Baseへの通信間にファイアウォールがある場合
ファイアウォールを挟んでPFM - Managerと,PFM - Agent,PFM - RMまたはPFM - Baseを配置する場合は,PFM - Managerと,PFM - Agent,PFM - RMまたはPFM - Baseのすべてのサービスにポート番号を固定値で設定してください。また,各ポート番号を次の表に示す方向で設定し,ファイアウォールを通過させるようにしてください。
なお,Agent StoreサービスおよびAgent Collectorサービスについては,各PFM - Agentマニュアルの,付録を参照してください。Remote Monitor StoreサービスおよびRemote Monitor Collectorサービスについては,PFM - RMマニュアルの,付録を参照してください。
PFM - Managerホスト |
通過方向※1 |
PFM - Agent,PFM - RMまたはPFM - Baseホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcah |
jp1pcstatsvr |
||
PFM - AgentまたはPFM - RMのCollectorサービスのポート番号 |
||
PFM - AgentまたはPFM - RMのStoreサービスのポート番号 |
PFM - Managerホスト |
通過方向※1 |
PFM - Agent,PFM - RMまたはPFM - Baseホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcah |
jp1pcah_論理ホスト名 |
||
jp1pcstatsvr※4 |
||
PFM - AgentまたはPFM - RMのCollectorサービスのポート番号 |
||
PFM - AgentまたはPFM - RMのStoreサービスのポート番号 |
PFM - Managerで一時的に使用される送信ポートが,PFM - Agent,PFM - RMまたはPFM - Baseの受信ポートに通過できるようにファイアウォールを設定してください。
(b) PFM - Agent,PFM - RMまたはPFM - BaseからPFM - Managerへの通信間にファイアウォールがある場合
ファイアウォールを挟んでPFM - Managerと,PFM - Agent,PFM - RMまたはPFM - Base を配置する場合は,PFM - Managerと,PFM - Agent,PFM - RMまたはPFM - Baseのすべてのサービスにポート番号を固定値で設定してください。また,各ポート番号を次の表に示す方向で設定し,ファイアウォールを通過させるようにしてください。
PFM - Agent,PFM - RMまたはPFM - Baseホスト |
通過方向※1 |
PFM - Managerホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcagt0 |
jp1pcsto0 |
||
jp1pcnsvr |
||
jp1pcmm |
||
jp1pcsto |
||
jp1pcep |
||
jp1pctrap |
||
jp1pcvsvr2 |
||
jp1pcah |
||
jp1pcstatsvr |
PFM - Agent,PFM - RMまたはPFM - Baseホスト |
通過方向※1 |
PFM - Managerホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcagt0_論理ホスト名 |
jp1pcsto0_論理ホスト名 |
||
jp1pcnsvr |
||
jp1pcmm |
||
jp1pcsto |
||
jp1pcep |
||
jp1pctrap |
||
jp1pcvsvr2 |
||
jp1pcah |
||
jp1pcah_論理ホスト名 |
||
jp1pcstatsvr※4 |
PFM - Agent,PFM - RMまたはPFM - Baseで一時的に使用される送信ポートが,PFM - Managerの受信ポートに通過できるようにファイアウォールを設定してください。
(3) PFM - AgentまたはPFM - RMと,ほかのホストのPFM - AgentまたはPFM - RM間のファイアウォール
PFM - AgentまたはPFM - RMと,ほかのホストのPFM - AgentまたはPFM - RM間のファイアウォールのポート通過について次の図に示します。
次に,PFM - AgentまたはPFM - RMと,ほかのホストのPFM - AgentまたはPFM - RM間のIP通過について次の図に示します。
対象ホスト間で通信できるIPについて通過設定が必要です。○が付いたIPについて送受信ができるようにファイアウォールを通過設定してください。
×が付いたIPについてはPFM - AgentまたはPFM - RMと,ほかのホストのPFM - AgentまたはPFM - RM間では使用しないので通過設定は不要です。
(a) PFM - Agent,PFM - RMまたはPFM - Base からほかのホストのPFM - Agent,PFM - RMまたはPFM - Baseへの通信間にファイアウォールがある場合
ファイアウォールを挟んでPFM - Agent,PFM - RMまたはPFM - Baseと,ほかのPFM - Agent,PFM - RMまたはPFM - Baseを配置している場合は,対象ホスト間でjpctool db backupコマンド,jpctool db dumpコマンド,またはjpctool service listコマンドを実行したいときだけ,ファイアウォールの通過設定が必要です。なお,PFM - Managerと,PFM - Agent,PFM - RMまたはPFM - Base間についてのファイアウォールの通過設定は必要となります。
ただし,jpctool db dumpコマンドまたはjpctool service listコマンドでは,対象ホストからPFM - Managerホストと通信できる環境であれば,-proxyオプションを指定して実行することでPFM - Managerを経由して通信するため,コマンド実行が可能となりファイアウォールの通過設定は不要となります。
jpctool db backupコマンドについては,対象ホスト間で実行する場合はファイアウォールの通過設定が必要となりますが,-aloneオプションを使用して自ホストでのバックアップ取得運用などができます。この場合はファイアウォールの通過設定は不要となりますので運用設計を検討してください。
jpctool db backupコマンド,jpctool db dumpコマンド,またはjpctool service listコマンドの詳細については,「3. コマンド」を参照してください。
ファイアウォールの通過設定をする場合は,両方のPFM - Agent,PFM - RMまたはPFM - Baseのすべてのサービスにポート番号を固定値で設定してください。また,各ポート番号を次の表に示す方向で設定し,ファイアウォールを通過させるようにしてください。
なお,Agent StoreサービスおよびAgent Collectorサービスについては,各PFM - Agentマニュアルの,付録を参照してください。Remote Monitor StoreサービスおよびRemote Monitor Collectorサービスについては,PFM - RMマニュアルの,付録を参照してください。
PFM - Agent,PFM - RMまたはPFM - Baseホスト |
通過方向※1 |
ほかのPFM - Agent,PFM - RMまたはPFM - Baseホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcah |
jp1pcstatsvr |
||
PFM - AgentまたはPFM - RMのCollectorサービスのポート番号 |
||
PFM - AgentまたはPFM - RMのStoreサービスのポート番号 |
PFM - Agent,PFM - RMまたはPFM - Baseホスト |
通過方向※1 |
ほかのPFM - Agent,PFM - RMまたはPFM - Baseホスト※3 |
---|---|---|
Any※2 |
→ |
jp1pcah |
jp1pcah_論理ホスト名 |
||
jp1pcstatsvr※4 |
||
PFM - AgentまたはPFM - RMのCollectorサービスのポート番号 |
||
PFM - AgentまたはPFM - RMのStoreサービスのポート番号 |
PFM - Agent,PFM - RMまたはPFM - Baseで一時的に使用される送信ポートが,ほかのPFM - Agent,PFM - RMまたはPFM - Baseの受信ポートに通過できるようにファイアウォールを設定してください。