Comments
Description
Transcript
HP SIM 5.2によるファイアウォール経由でのHPサーバの管理
HP SIM 5.2によるファイアウォール経由でのHPサーバの管理 概要................................................................................................................................................... 2 はじめに ............................................................................................................................................ 2 HP製の管理製品.................................................................................................................................. 3 ケース1:DMZでの管理プロトコルの禁止 ............................................................................................ 3 資産管理......................................................................................................................................... 3 障害管理......................................................................................................................................... 3 ケース2:独立した管理ネットワーク ................................................................................................... 4 資産管理......................................................................................................................................... 4 障害管理......................................................................................................................................... 5 ケース 3:ファイアウォール経由での管理............................................................................................ 5 資産管理......................................................................................................................................... 5 SNMP ......................................................................................................................................... 7 DMI ............................................................................................................................................ 7 WBEM ........................................................................................................................................ 7 WMI........................................................................................................................................... 7 障害管理......................................................................................................................................... 8 設定管理......................................................................................................................................... 8 バージョン コントロール ............................................................................................................. 9 エージェント設定のレプリケート ................................................................................................. 9 SSH ............................................................................................................................................ 9 パフォーマンス管理 ........................................................................................................................ 9 結論................................................................................................................................................. 10 用語集 ............................................................................................................................................. 11 付録:独立した管理ネットワークの設定............................................................................................. 12 詳細情報 .......................................................................................................................................... 13 ご協力のお願い ................................................................................................................................ 13 概要 このWhite Paperでは、標準の実務ネットワークより安全と考えられるネットワーク領域にデプロイメントさ れたHP Systems Insight Manager(HP SIM)を使用してHPサーバを管理するための方法について説明します。 このWhite Paperはベスト プラクティス ガイドではありません。システム管理者が、特定のコンピューティン グ環境に適した管理ソリューションを作成できるようにするための情報を提供しています。 はじめに 安全な環境でシステムを管理することは、多くのシステム管理者が直面している課題です。クリティカルなセ キュリティ要件と、システムを効率的に管理および保守する必要性の間で注意深くバランスを取る必要があり ます。 多くのサイトでは、安全な環境とは、企業のサーバとインターネットの間に位置しており、通常は、トラ フィック フローを制限するファイアウォールによってこの両方から分離されたネットワークの領域です。こ の環境(図1を参照)は一般に、非武装地帯(DMZ)と呼ばれます。DMZにおけるセキュリティの課題は、セ キュリティに関して特別な注意が必要な、ネットワークの他の領域における課題とほぼ同じです。 図1:企業の一般的なコンピューティング環境のブロック図 このWhite Paperでは、3つのサンプル ケーススタディを通して、DMZでHP製システムを管理するためのオプ ションを調査します。また、各オプションに関連した利点やリスクについて説明します。システム管理者は、 このWhite Paperの情報を活用することにより、必要な管理のレベルおよび許容可能なセキュリティ上のリス クのレベルに基づいて、独自のコンピューティング環境のためにソリューションを調整できるようになるはず です。 ケース1では、安全なネットワーク、および必要な管理やセキュリティ上の制限から、ほとんどの管理プロト コルが禁止されます。 ケース2では、完全に独立したネットワークが管理に使用されます。このソリューションには、管理トラ フィックがプライマリ ネットワークから完全に分離されるという利点があるため、管理機能をフルに使用で きます。ただし、ハードウェアやインフラストラクチャのコストの点から見ると、最も高価なオプションにな ります。 ケース3では、管理プロトコルが許可され、管理トラフィックはファイアウォール経由でHP SIMに到達するこ とが許可されます。これにより、リスクが測定可能な、完全に機能する管理ソリューションが得られます。 このWhite Paperの対象読者は、既存のテクノロジやサーバに精通しているエンジニアおよびシステム管理者 です。このWhite Paperは、述べているセキュリティの概念やトピックのすべてを定義または説明しようとす るものではありません。代わりに、それらの情報が含まれているリソースへの参照情報を提供しています。最 後の用語集では、このテキストで使用されている用語の一部が定義されています。 2 HP製の管理製品 次のHP製品は、DMZにデプロイメントされるHPサーバ用の管理オプションのコンポーネントです。 • HP SIM • HP Insightマネジメント エージェント(エージェント) • HP ProLiant Essentials Performance Management Pack(PMP) • HP WBEM Services for HP-UX • リモートInsightボードLights-Out Edition II(RILOE UII)やIntegrity Lights Out(iLO)などのマネジメント プロ セッサ • HP System Management Homepage(すべてのエージェント ページ、HPバージョン コントロール エージェ ント、HPバージョン コントロール レポジトリ マネージャ ページ、およびHP診断ページを含む) • HP Virtual Machine Management Pack(VMM) ケース1:DMZでの管理プロトコルの禁止 コンピューティング環境によっては、ITセキュリティ ポリシーによって、管理プロトコルが安全な環境内のみ に制限されることがあります。DMZ内で他のプロトコル(電子メールやファイル共有など)が、セキュリティ ポリシーによって許可される場合があります。許容可能な管理ソリューションは、環境のセキュリティ上の制 限に従う必要があります。 このような環境では、アクティブな管理を実行できない場合でも、管理対象システムから何らかの管理情報が 流れることがあります。ProLiantサーバを管理するには、サーバ上にSNMPがインストールされ実行されている 必要がありますが、プラットフォーム外からのアクセスを防止するようにSNMPを設定できます。SNMPを設 定する方法については、オペレーティング システムのマニュアルを参照してください。 資産管理 この種類のコンピューティング環境では、エージェントと、データをローカルに取得できるアプリケーション の両方が実行されている限り、管理者はDMZ内のProLiantサーバからシステムの資産情報を収集できます。た とえば、Microsoft Systems Management Serverはエージェントから資産情報を取得し、その情報をオペレー ティング システムのファイル共有を通して中央管理サーバ(CMS)に転送できます。2番目のオプションとし て、管理者はWebベースのエージェント(https://servername:2381/)にアクセスし、資産情報を手動で表示 することができます。 障害管理 管理者は、ハードウェアの問題が発生した場合は(SMTPを介して)電子メールを送信するようにProLiantサー バを設定できます。Microsoft Windowsオペレーティング システムでは、エージェント イベント通知機能に よってこのオプション機能が提供されます。管理者は、エージェントのデプロイメント中に、エージェント イベント通知機能をセットアップおよび設定できます。Linuxオペレーティング システムでは、ハードウェア の問題が発生した場合、管理対象システム上のルートのEmailに自動的にEmailが送信されます。 また、Microsoft Windows用のInsightマネジメント エージェントでも、Windowsのイベント ログ エントリが 作 成 さ れ ま す 。 そ の 結 果 、 同 じ 環 境 で 動 作 し て い る ( HP Operations Manager や Microsoft Operations Managerなどの)管理ツールは、ログ エントリを収集してCMSに返送することができます。Linux用のInsight マネジメント エージェントは、syslog内にエントリを作成します。管理者は、これらのエントリを検索して 適切な処理を実行するスクリプトを記述することができます。 3 ケース2:独立した管理ネットワーク コンピューティング環境によっては、システム管理者がプライマリ ネットワークまたは実務ネットワークと 並行して、独立したセカンダリ ネットワークを作成することがあります(図2を参照)。この方法の主な利点 は、管理トラフィックがセカンダリ ネットワーク経由で流れるため、実務(プライマリ)ネットワークから のアクセスが制限されることによってセキュリティが維持されることです。HP SIMを使用して独立した管理 ネットワークを設定すると、DMZ内のシステムへの安全なアクセスが可能になります。 このソリューションでの有効なオプションの1つとして、iLOまたはRILOE IIのどちらかのSNMPパススルー機 能の利用があります。このSNMPパススルー オプションによってすべての管理機能が有効になるわけではあり ませんが、ステータス、インベントリ、および障害の情報をHP SIMや、SNMPに対応した別の管理アプリケー ションに渡すことができます。このオプションでは、Lights-Out製品がネットワーク インタフェース カード (NIC)としてホスト オペレーティング システムに認識されないため、非常に安全であるという利点があり ます。 注記: 管理ネットワークを企業(内部)ネットワークに接続しないでください。 DMZ内のいずれかのシステムが危険にさらされた場合、ハッカーに管理 ネットワークに侵入される恐れがあります。ただし、このネットワーク への仮想プライベート ネットワーク(VPN)アクセスの許可は有効な場 合があります。 図2:プライマリ(実務)ネットワークおよびセカンダリ(管理)ネットワークの並行運用 資産管理 セカンダリ ネットワーク上にHP SIMがインストールされている場合、システム管理者は、iLOのパススルーを 使用してそのセカンダリ ネットワーク上のProLiantサーバからシステムの資産情報を収集できます。2番目の オプションとして、管理者はWebベースのエージェント(https://servername:2381)にアクセスし、資産情 報を手動で表示することができます。 このWhite Paperの付録では、独立した管理ネットワークを設定する手順について説明しています。管理ネッ トワーク上で使用されているIPアドレスからのパケットのみを許可するようにSNMPを設定する必要がありま す。または、オペレーティング システムで許可されている場合は、セカンダリ ネットワークのインタフェー スにSNMPをバインドしてください。管理ネットワーク上のIPアドレスからのアクセスのみを許可するように エージェントを設定する必要があります。プライマリ ネットワーク上でWMI(Windows Management Instrumentation)、Webベース エンタープライズ管理(WBEM)、およびデスクトップ管理インタフェース (DMI)を無効にするには、システム上にファイアウォールを設定してプライマリNIC上の各プロトコルを無 効にします。 4 障害管理 ProLiantサーバ上のLights-Outインタフェースを経由してSNMPトラップを転送できます。これにより、完全な 障害管理データがHP SIMや、HP Network Node Managerなどの別の管理製品に流れるようにすることができ ます。 また、Microsoft Windows用のInsightマネジメント エージェントでも、Windowsのイベント ログ エントリが 作成されます。同じ環境で動作している(HP Operations ManagerやMicrosoft Operations Managerなどの) 管理ツールは、その後ログ エントリを収集してCMSに返送することができます。Linux用のInsightマネジメン ト エージェントは、syslog内にエントリを作成します。管理者は、これらのエントリを検索して適切な処理 を実行するスクリプトを記述することができます。 CMSがSNMPトラップを受信できる場合は、CMSの自動イベント処理機能を使用して、ネットワークを管理す る別のCMSに電子メールを送信するか、またはトラップを転送することができます。 ケース 3:ファイアウォール経由での管理 その他のコンピューティング環境では一般に、ファイアウォールによってCMSと管理対象サーバが分離されま す。このような環境(図3を参照)では、2つのネットワークに異なる信頼レベルが設定されます。たとえば、 管理対象サーバがDMZであり、イントラネットのより信頼性の高い場所にCMSが常駐することがあります。 ファイアウォールは、これらの2つのネットワーク間のトラフィックを制御するために使用されます。ファイ アウォールでは、特定のシステム間の特定の種類のトラフィックのみの交換が許可されます。 ソリューションによっては、ファイアウォールによって通信が特定のIPアドレス間に制限されることがありま す。たとえば、ファイアウォールで管理対象システムとCMSの間のすべてのIPパケットの交換が許可される場 合があります。ただし、ホスト名とIPアドレスを指定できるため、ファイアウォール経由でより高いレベルの 制限を課すことができます。つまり、ファイアウォールでは、スプーフィング不可能なプロトコルのみを許可 できます。 このケーススタディでは、ファイアウォールが、CMSから管理対象サーバへの要求と、返された応答のみを許 可するように設定されていることを前提にしています。つまり、コネクションレス プロトコルは受信パケッ トをブロックするように簡単に設定できないため、通常、ファイアウォールではUDP(User Datagram Protocol)トラフィックは許可されません。特定のTCP(Transmission Control Protocol)ポートのみが開かれ、 一般には、特定の種類のトラフィック用にフィルタリングされます。 図3:管理対象サーバからCMSを分離しているファイアウォール 資産管理 HP SIMは、最初に管理対象システムを検出して識別し、各管理対象システム上で動作している装置類から データを収集し、このデータをSQLデータベースに格納して、最後に、この収集されたデータに対するレポー ト機能を提供することによって資産管理サービスを提供します。これらの手順には、以下に説明しているよう に、CMSと管理対象システムの間の通信が必要になります。 5 最初に、管理対象システムと、そこで動作している装置を識別する必要があります。HP SIMには、IPのping検 出を使用した自動検出のメカニズムが用意されています。または、管理者が手動でシステムを名前またはアド レスで追加することもできます。いずれの場合も、CMSは、pingを使用して管理対象システムへの接続を試み ます。これが失敗すると、このシステムにはそれ以上の要求は送信されません。 HP SIMは通常、ICMP(Internet Control Message Protocol)エコーを使用してシステムにpingを送信します。た だし、ファイアウォール経由のICMPを無効にしているネットワーク管理者もいます。この状況では、管理者 は、TCPポートを使用してシステムにpingを送信するようにHP SIMを設定できます。デフォルトではポート80 が使用されますが、設定ファイルで代替のポートを指定することができます。選択されたポートをターゲット システムがアクティブにリスンしている必要はありませんが、これらの要求の通過を許可するようにファイア ウォールを設定する必要があります。 次に、CMSは、SNMP、DMI、HTTP(Hyper Text Transfer Protocol)、WBEMなどの、いくつかの管理プロト コルの識別を試みます。資産管理に使用されるプロトコルは、管理されるシステムの種類によって異なります (表1を参照)。 • ProLiantサーバは現在、SNMPを介して管理データを提供し、ハードウェアの計測を完全にカバーしていま す。また、Windowsを実行しているIntegrityサーバも、このSNMPによる計測を提供しています。 • Microsoft Windows 2000または2003を実行しているProLiantサーバおよびIntegrityサーバも、WMIを介して 多くのデータを公開しており、オペレーティング システム情報や、サーバ モデルおよびシリアル番号など の基本的なハードウェア情報を広範囲にカバーしています。WMIでは現在、コントローラ、デュアル イン ライン メモリ モジュールDIMM、物理ディスクなどの詳細なハードウェア情報はカバーされていません。 • Linuxを実行しているProLiantサーバおよびIntegrityサーバも、WBEMを介して管理データを提供できます。現 在、そのデータはSNMP情報ほど豊富ではありませんが、WBEMでは基本的なハードウェアおよびオペレー ティング システム情報が提供されています。WBEMは将来、すべての情報を提供するように拡張中です。 • HP-UXを実行しているHP 9000サーバおよびIntegrityサーバは、WBEMを使用して管理データを提供します (これらのシステムはSNMPもサポートしていますが、SNMPは資産管理には必要ありません)。 表1:業界標準サーバの資産管理に使用されるプロトコル サーバ OS SNMP ProLiant Windows ProLiant WBEM WMI 使用 使用 使用 Linux 使用 使用 HP 9000 HP-UX 使用 HP Integrity HP-UX 使用2 使用 HP Integrity Linux 使用 使用 HP Integrity Windows 使用 使用1 その他の デバイス DMI 使用 使用 (11.x) 使用 使用 注記: 1 WMI Mapperがインストールされている場合 2 資産管理には必要なし ファイアウォール経由で有効にする必要のあるプロトコルの選択は、管理対象のシステムの種類によって異な ります。以下では、各プロトコルに関連する問題について説明します。理想として、ファイアウォール経由で 配置されているサーバの管理にはWBEMが使用されます。 6 SNMP SNMPは、管理の対応範囲は最も広くなりますが、同時に最もリスクが高くなります。資産管理のために設定 操作は必要ありませんが、SNMPはUDPをベースにしています。そのため、多くの環境では、ファイアウォー ルの通過に適したプロトコルとは考えられていません。SNMPバージョン1のコミュニティは単純な平文であ るため、そのセキュリティは低レベルです。ただし、管理対象システムを含むネットワークの制御レベルが相 対的に高い環境には、SNMPが適している場合があります。 DMI DMIはリモート プロシージャ コール(RPC)ベースのプロトコルです。DMIが動作するためには、ファイア ウォール経由でいくつかのポートを開く必要があります。このため、DMIをファイアウォール経由で使うこと はおすすめできません。DMIの大半は、WBEMに置き替えられています。 注記: DMIは、HP-UX 11.23(11iv2)を実行しているHP-UXシステムではサポー トされていません。このオペレーティング システムでは、WBEMを使用 する必要があります。 WBEM WBEMは、HTTPSを使用して、CMSから管理対象システムへの安全なTCP接続を提供したり、データ収集のた めの情報を収集したりします。WBEMは独自のポート(SSL接続の場合は5989)を使用し、ファイアウォール 経由でサポートされています。CMSは、信頼済み証明書を使用して管理対象システムを認証することができま すが、管理対象システムはユーザ名とパスワードを使用してCMSを認証します。WBEMイベントは、ポート 50004上でHTTPSを介して管理対象システムからCMSに配信されます。 注記: ファイアウォールを設定して、CMSがデフォルト ポートの5989経由で 管理対象システムと通信できるようにする必要があります。WBEMプロ バイダのデフォルト ポート設定を変更している場合は、WBEMプロバイ ダで実際に設定されているポート番号に合わせてファイアウォールの ポート番号設定を変更する必要があります。 WMI WMIは、WBEMのMicrosoft社による実装です。WMIはDCOM上で実行されます。DCOMはRPCを使用します。 WMIではいくつかのポートを開く必要があり、管理トラフィックを他のDCOM要求と分離できないため、一 般に、ファイアウォール経由での使用には適していません。ファイアウォールの背後にあるWindowsシステム については、安全なネットワーク上にある管理対象システムにWMI Mapperをインストールすることをおすす めします(図4を参照)。WMI Mapperは、ファイアウォールを通過する標準的なWBEM要求を許可します。 これらの要求は、管理対象システム上でWMI要求にマッピングされます。 7 図4:ファイアウォールの背後にある管理対象Windowsシステム上のWMI Mapper WMI MapperはWindowsバージョンのHP SIMに含まれていますが、他のバージョンでも使用できます。HP SIM ソフトウェアに付属するほか、HPのWebサイトhttp://www.hp.com/jp/hpsim/からも入手できます。WMI MapperをWindowsシステムにインストールすると、そのシステムへのWBEMアクセスが可能になります。 上のDMZの例に示すように、WMI Mapperを他のシステムにアクセスするためのプロキシとして使用する場合 は、そのWMI Mapperをプロキシとして認識するようにHP SIMを設定する必要があります。[オプション]、 [プロトコル設定]、[WMI Mapperプロキシ]の順に選択して、WMI Mapperがインストールされているシス テムを追加します。 障害管理 HPエージェントには、障害を伝える手段としてSNMPトラップとSMTP電子メールの2つがあります(表2を参 照)。このどちらの手段も、DMZ内のエージェントから発信され、CMSまたはSMTPメール サーバに送信され ます。 表2:HPエージェントが障害を伝える方法 使用法 プロトコル: ポート SNMPトラップ SNMP:162 エージェント (DMZ) SMTP電子 メール SMTP:25 エージェント (DMZ) 発信元 設定管理 DMZ内の管理対象システム上のHP Webエージェントは、最初に、CMSサーバを証明書によって信頼するよう に設定する必要があります。これにより、そのエージェントへのすべてのバージョン コントロール(VC)コ マンドおよびすべてのエージェント設定のレプリケート(RAS)コマンドが、指定されたCMSから発信された ものとして認証されます。これらのコマンドには、ポート2381経由のHTTPSが必要です。 システムは、CMSで検出できる必要があります。また、システムは識別可能である必要もあります。これには 少なくとも、ポート2301経由のHTTPアクセスが必要です。 表3は、ファイアウォール経由で管理する場合の設定管理に使用されるプロトコルを示しています。 8 表3:設定管理に使用されるプロトコルの概要 使用法 機能 プロトコル:ポート 発信元 システム検出1 すべて ICMPまたはTCP:80 CMS システム識別 VC、 RAS HTTP:2301 CMS セキュリティ保護 された要求 VC、 RAS HTTPS:2381 CMS ソフトウェア識別 VC SNMP:161 CMS VCR要求2 VC HTTPS:2381 システム(DMZ) ステータス更新3 VC HTTP:280 システム(DMZ) SSH SSH SSH:22 CMS 注記: 1 検出プロトコルはICMPまたはTCP+設定可能なポートで設定できます。デフォルト ポートは80です。 2 VCRがDMZ内に存在する場合は、必要ありません。その場合は、VCRを他の任意の管理対象システムと見なすことができ ます。 3 代わりにCMSポーリング機能を使用できますが、2時間にわたる15分おきのポーリングに制限されることに注意してくだ さい。 バージョン コントロール この説明は、バージョン コントロール レポジトリ(VCR)が、CMSとともにファイアウォールの背後に(一 般にはCMS上に)あるという前提に基づいています。 管理対象システム上で使用可能なソフトウェアを検出するには、ポート161経由のSNMPが必要です。あるコ ンポーネントを更新するためのコマンドを受信すると、システムは、VCRへのポート2381経由のHTTPSを使用 して、そのコンポーネントをVCRから取得する必要があります。その更新ステータスをCMSに返すために、 エージェントはポート280経由のHTTPを使用します。さらに、CMSは最大2時間、15分おきにシステムをポー リングしてステータスを調べます。 エージェント設定のレプリケート エージェント設定のレプリケートには、他のターゲット システムに複製するために設定がコピーされ、CMS に保存されているソース システムが必要です。この機能は、ポート2381を経由するHTTPSトラフィックに依 存しており、ファイアウォールがこのトラフィックを通すように設定されている限り、そのファイアウォール 経由で動作できます。 SSH SSHは、さまざまなツールでシステムを管理するために、HP SIM CMS上のローカルとリモートの両方で使用 されます。 パフォーマンス管理 この項は、HP ProLiant Essentials Performance Management Pack(PMP)/PPAが、CMSとともにファイア ウォールの背後にあるという前提に基づいています。システムは、ポート80へのICMPエコーまたはTCPを使 用して、CMSで検出できる必要があります。PMP/PPAと管理対象システムの間のすべての通信がSNMPを介し て実行されます。 表4:パフォーマンス管理のプロトコル 使用法 プロトコル:ポート 発信元 システム検出1 ICMPまたはTCP:80 CMS PMP/PPA SNMP:161 CMS 注記: 1 検出プロトコルはICMPまたはTCP+設定可能なポートで設定できます。デフォルト ポートは80です。 9 結論 このWhite Paperでは、安全な環境でHP製システムを管理するために使用可能なさまざまなオプションについ て説明しました。ここで説明したソリューションは、これらのオプションを調査するためのフレームワークと してのみ作成されています。各システム管理者は、これらのオプションに基づいて、ソリューションを独自の ネットワークに合わせて調整できます。 10 用語集 DMI(Desktop Management Interface。デスクトップ管理インタフェース) - PCのための管理システム。 出典:High Tech Dictionary:http://www.computeruser.com/resources/dictionary/index.html http://www.dmtf.org/standards/dmiを参照してください。 DIMM - デュアル インライン メモリ モジュール。 分散型コンポーネント オブジェクト モデル(DCOM) - コンポーネント オブジェクト モデル(COM)の拡 張機能。DCOMは、Windowsオペレーティング システム用にMicrosoft社によって開発されました。ネット ワーク全体にわたって分散したオブジェクトをサポートしており、CORBA(Common Object Request Broker Architecture)の実装であるIBM社のDSOMプロトコルによく似ています。 出典:High Tech Dictionary:http://www.computeruser.com/resources/dictionary/index.html HTTPS(HyperText Transmission Protocol, Secure)。SSL(Secure Sockets Layer)経由のHTTP。 ICMP(Internet Control Message Protocol) - インターネット プロトコルに対する拡張機能であり、エ ラーの管理やコントロール メッセージの生成のために、ゲートウェイとソース ホストの間の通信に使用され ます。 出典:High Tech Dictionary:http://www.computeruser.com/resources/dictionary/index.html RPC - リモート プロシージャ コール。 SMTP(Simple Mail Transfer Protocol) - Emailを配信するためのサーバ間プロトコル。インターネット 上で使用される標準プロトコルであり、他のTCP/IPネットワークでも使用されます。 出典:High Tech Dictionary:http://www.computeruser.com/resources/dictionary/index.html SNMP(Simple Network Management Protocol。簡易ネットワーク管理プロトコル) - ネットワーク管理ソフ トウェアのためのインターネットの標準プロトコル。プログラムから呼び出されたエージェントは、SNMPを 使用してネットワーク上のさまざまなデバイス(ハブ、ルータ、ブリッジなど)を監視します。別のプログラ ムが、エージェントからデータを収集します。この監視動作によって作成されたデータベースは、管理情報 ベース(MIB)と呼ばれます。このデータは、ネットワーク上のすべてのデバイスが正しく動作しているかど うかを確認するために使用されます。 出典:High Tech Dictionary:http://www.computeruser.com/resources/dictionary/index.html UDP(User Datagram Protocol。ユーザ データグラム プロトコル) - インターネットのネットワーク層、 トランスポート層、およびセッション層のための通信プロトコルであり、あるコンピュータから、別のコン ピュータで実行されているアプリケーションにデータグラム メッセージを送信できるようにします。TCPと同 様に、UDPはインターネット プロトコル(IP)で使用されます。TCPとは異なり、UDPはコネクションレスで あるため、信頼性の高い通信は保証されません。アプリケーション自体でエラーを処理して、信頼性の高い配 信を確保する必要があります。 出典:High Tech Dictionary:http://www.computeruser.com/resources/dictionary/index.html 11 付録:独立した管理ネットワークの設定 HP SIMを使用する独立した管理ネットワークを設定するには、次の手順を実行して、セカンダリ ネットワー ク上にHP SIMをインストールします。 1. 管理ネットワーク上で使用されているIPアドレスからのパケットのみを許可するようにSNMPを設定するか、 またはセカンダリ ネットワークのインタフェースにSNMPをバインドします(オペレーティング システム で許可されている場合)。 • • Windowsシステムの場合: 1. コントロール パネルから、[サービス]メニューを開きます。 2. [SNMP Service]の[プロパティ]を開きます。 3. [セキュリティ]タブで、SNMPパケットを受け付けることができるIPアドレスのリストにIPアドレ スを追加します。 LinuxまたはHP-UXを実行しているシステムの場合: 1. snmpd.conf設定ファイルを、目的のホストからのSNMPパケットのみを受け付けるように変更し ます。 2. ネットワーク上で必要な他のすべてのオペレーティング システム サービスに関して、同じ操作 を行います。 2. Insightマネジメント エージェントを、管理ネットワーク上のIPアドレスからのアクセスのみを許可するよ うに設定します。 a. 管理者権限でエージェントにログインします。 b. [設定]/[オプション]ページに進み、[IP限定ログイン]の設定を変更します。 3. セカンダリ ネットワーク上のシステムを検出するようにHP SIMを設定します。 c. HP Insight Managerで、[オプション]、[検出]、[自動検出]の順に選択します。 d. セカンダリ ネットワーク上のシステムのIPアドレスを追加します。 プライマリ ネットワーク上でWMI、WBEM、およびDMIを無効にするには、システム上にファイアウォール を設定してプライマリNIC上の各プロトコルを無効にします。これを実行するための方法は、ファイアウォー ルによって異なります。 WMI、WBEM、およびDMIを有効にする場合のその他の考慮事項については、表5を参照してください。 表5:業界標準サーバの資産管理に使用されるプロトコル サーバ OS SNMP ProLiant Windows ProLiant WBEM WMI 使用 使用1 使用 Linux 使用 使用 HP 9000 HP-UX 使用2 HP Integrity HP-UX 使用2 使用 HP Integrity Linux 使用 使用 HP Integrity Windows 使用 使用1 その他の デバイス DMI 使用3 使用(11.x) 使用 使用 注記: 1 WMI Mapperがインストールされている場合 2 資産管理には必要なし 3 WBEMがインストールされている場合は不要 12 詳細情報 トピック リンク ProLiantサーバの管理 http://h18013.www1.hp.com/products/servers/management/index.html (英語) HP Systems Insight Manager http://www.hp.com/jp/hpsim/ ProLiant Essentials Performance Management Pack(PMP) http://h50146.www5.hp.com/products/servers/proLiant/management/ice/ index.html HP WBEM Services for HP-UX http://h18004.www1.hp.com/products/servers/management/hpsim/download. html(英語) Integrated Lights-Out(iLO) http://h50146.www5.hp.com/products/servers/proliant/essentials/ilo2/adv.html リモートInsightボードLights-Out Edition II (RILOE II) http://h50146.www5.hp.com/products/servers/proliant/management/iboardlo2_sh.html HP OpenViewのメイン サイト http://h50146.www5.hp.com/products/software/management/openview/ ProLiant Essentials Vulnerability and Patch Management Packサーバ セキュリティに関する推奨事項 http://h50146.www5.hp.com/products/servers/proLiant/management/ice/ index.html ご協力のお願い ISS技術情報に対するお客様のニーズをよりよく理解し、対応するために、このWhite Paperに関するご意見を [email protected](英語)までお送りください。. © 2004-2008 Hewlett-Packard Development Company, L.P. 本書の内容は、将 来予告なしに変更されることがあります。HP製品およびサービスに対する保 証については、当該製品およびサービスの保証規定書に記載されています。 本書のいかなる内容も、新たな保証を追加するものではありません。本書の 内容につきましては万全を期しておりますが、本書中の技術的あるいは校正 上の誤り、脱落に対して、責任を負いかねますのでご了承ください。 MicrosoftおよびWindowsは、Microsoft Corporationの米国における登録商標 です。 Linuxは、Linus Torvalds氏の登録商標です。 本製品は、日本国内で使用するための仕様になっており、日本国外で使用さ れる場合は、仕様の変更を必要とすることがあります。 本書に掲載されている製品情報には、日本国内で販売されていないものも含 まれている場合があります。 481364-191 2008年2月