以下のネットワークアクセス要件を満たす場合、LifeKeeper for Linux は、同一サーバ上にファイアウォールを設定した状態で実行できます。

注記: ファイアウォールを単に無効にする場合は、後述のファイアウォールの無効化 を参照してください。

LifeKeeper のコミュニケーションパス

コミュニケーションパスは、特定の IP アドレスを使用して、LifeKeeper クラスタ内にあるサーバペアの間に設定されます。TCP ポート 7365 は、作成時にデフォルトで各通信のリモート側により使用されますが、通信の開始側の TCP ポートは任意です。推奨方法は、そのシステムが既知のコミュニケーションパスでローカルとリモートの IP アドレスの各指定ペアについて、受信と送信の両方のトラフィックを許可するように、各 LifeKeeper サーバにファイアウォールを設定することです。

LifeKeeper GUI の接続

LifeKeeper GUI は、デフォルトの初期接続ポートであるポート 81 と 82 を含めて、特定の TCP ポートを多数使用します。また、LifeKeeper GUI は、ポート 1024 以降をオブジェクトの送受信に使用するリモートメソッド呼び出し (RMI) も使用します。これらすべてのポートが、各 LifeKeeper サーバのファイアウォールで、少なくとも GUI クライアントが動作する外部システムに対して開いている必要があります。

LifeKeeper の IP アドレスリソース

IP アドレスに関連するアプリケーションにアクセスする必要があるクライアントシステムから、LifeKeeper の階層にある IP アドレスリソースにアクセスできるように、ファイアウォールを設定する必要があります。IP アドレスリソースは LifeKeeper クラスタ内のあるサーバから別のサーバに移動できるので、すべての LifeKeeper サーバ上のファイアウォールを適切に設定する必要があります。

また、LifeKeeper は、ブロードキャスト ping のテストを使用して、IP アドレスリソースの健全性を定期的にチェックします。このテストでは、仮想 IP アドレスからブロードキャスト ping パケットを送信し、ローカルサブネット上の他のいずれかのシステムが最初に応答するまで待ちます。このテストが失敗しないようにするには、各 LifeKeeper サーバ上のファイアウォールが以下のタイプのネットワーク動作を許可するように設定する必要があります。

  • 仮想 IP アドレスからのインターネット制御メッセージプロトコル (ICMP) パケットの送信 (アクティブな LifeKeeper サーバがブロードキャスト ping を送信できる)
  • 仮想 IP アドレスからの ICMP パケットの受信 (他の LifeKeeper サーバがブロードキャスト ping を受信できる)
  • 任意のローカルアドレスからの ICMP 応答パケットの送信 (他の LifeKeeper サーバがブロードキャスト ping に応答できる)
  • 仮想 IP アドレスでの ICMP 応答パケットの受信 (アクティブな LifeKeeper サーバがブロードキャスト ping への応答を受信できる)

LifeKeeper Data Replication

LifeKeeper Data Replication を使用する場合は、複製に ndb を使用する任意のポートへのアクセスを許可するように、ファイアウォールを設定する必要があります。nbd が使用するポートは、以下の式で計算できます。

10001 + <mirror number> + <256 * i>

i は 0 から始まり、使用されていないポート番号が計算されるまで加算されます。 /etc/services に定義されているポート、 netstat -an --inet の出力に含まれるポート、または LifeKeeper Data Replication の他のリソースが使用中としてすでに定義されているポートは、使用中です。

例: LifeKeeper Data Replication リソースのミラー番号が 0 である場合、式は当初、使用するポートを 10001 として計算しますが、この番号は、一部の Linux ディストリビューションでは SCP 設定ポートとして /etc/services に定義されています。この場合、 i が 1 だけ増分されてポート番号 10257 が得られます。この番号は、これらの Linux ディストリビューションの /etc/services には定義されていません。

その他ノード間通信

LifeKeeper の各サーバは、ポート 778 の SSL 接続を使用して通信を行います。このポートは、/etc/default/LifeKeeper 内の設定変数 API_SSL_PORT を使用して変更できます。

ファイアウォールの無効化

ファイアウォールを無効化する場合は、ご使用のディストリビューションのマニュアルに従い設定を行ってください。

フィードバック

お役に立ちましたか?

はい いいえ
お役に立ちましたか
理由をお聞かせください
フィードバックありがとうございました

このトピックへフィードバック

送信