Requisitos de puertos de firewall de NetBackup 6.x y 7.x

Problema

¿Cuáles puertos TCP deben abrirse mediante un firewall para los hosts 6.x y 7.x de NetBackup (NBU) para que se comuniquen entre sí?

Esta opción no incluye los requisitos de puertos para la comunicación con hosts NetBackup 5.x, el servidor remoto de EMM o otros procesos de una versión anterior.  Se incluyen esos detalles en la Guía de uso de puerto NetBackup (tm) 6.0 para Windows y plataformas UNIX y la Guía de seguridad y cifrado de NetBackup 7.0.1. Consulte Artículos relacionados. 

Causa

Los cambios principales de NetBackup 6.0 son la introducción de PBX para admitir conexiones de CORBA y sockets de envío de vnetd. 

• PBX analiza el puerto 1556 en busca de conexiones entrantes de CORBA con los procesos nuevos de varios subprocesos, al igual que vnetd para los procesos de una versión anterior de subproceso único.  Por lo tanto, puede accederse a todo el proceso nuevo mediante el puerto 1556, y cada nuevo proceso no necesita detectar un único puerto. 

• Los sockets de envío de vnetd reemplazan el mecanismo de devolución de llamadas anterior para abrir sockets adicionales para bpcd y otros procesos de cliente de una versión anterior.  Se abre el socket de envío, como el socket de servicio, desde el host de servidor hasta el host de cliente, y elimina la necesidad de aceptar paquetes entrantes TCP SYN de clientes de NetBackup si solamente se realizan operaciones estándares de copia de seguridad y restauración iniciadas por el servidor.
  
  De forma predeterminada, no hay un respaldo de conexión de cliente, de modo que el puerto saliente es el único requisito. Sin embargo, si se han modificado los atributos de cliente para deshabilitar vnetd, la ventana de puerto del servidor o la ventana de puerto reservado del servidor tal vez deba abrirse hacia adentro desde el host de cliente hasta el host de servidor para conexiones de devolución de llamadas desde bpcd y otros procesos de cliente.

Si la política de seguridad permite solicitudes entrantes TCP SYN, abra el puerto vnetd bidireccionalmente. De esa manera, la configuración no tendrán que ser modificada si el sitio utiliza funciones de NetBackup iniciadas por el cliente, que permiten iniciar las conexiones desde los hosts de cliente hasta el servidor principal.  Por ejemplo

• operaciones estándares de copia de seguridad/enumeración/restauración dirigidas al usuario
• Operaciones de copia de seguridad y restauración de aplicaciones de base de datos basadas en transmisiones (DataSore/DB2/Informix/Oracle y SAP/SQL-Servidor/Sybase/Teradata/XBSA).  Estos tipos de operaciones iniciadas por el cliente requieren que el host de cliente se conecte al servidor principal para las solicitudes de cola.
• Operaciones de cliente de SAN

Para las comunicaciones de servidor a servidor, el puerto TCP para PBX (1556) debe abrirse bidireccionalmente junto con el puerto TCP para vnetd (13724).  Si se configuran las opciones de conexión de Firewall en el servidor principal para los servidores de medios, la ventana de puerto del servidor o la ventana de puerto reservado del servidor tal vez deba abrirse hacia adentro desde los hosts de servidor de medios hasta el host de servidor principal para las conexiones de devolución de llamadas y el puerto TCP 13782 para bpcd tal vez deba abrirse hacia afuera desde el servidor principal hasta los hosts de servidor de medios para conexioens daemon.  Si se configuran las opciones de conexión de Firewall en el servidor de medios para el servidor principal u otros servidores de medios, los puertos daemon (bpdbm, bpjobd, control robótico, etc ) tendrán que abrirse desde esos hosts hasta el servidor principal. 

Solución

Los requisitos del puerto TCP para la configuración predeterminada; sin anular las opciones de conexión de Atributos de cliente (bpclient), la configuración del Firewall (CONNECT_OPTIONS), los servidores independientes principales y de EMM o las consideraciones de seguridad de una versión anterior; son los siguientes: 

• El servidor principal para/de servidores de medios requiere los puertos TCP para vnetd/13724 y PBX/1556, bidireccional.
• El servidor principal para el cliente necesita los puertos TCP para PBX/1556 y vnetd/13724 si los clientes realizan las operaciones indicadas por el cliente:  copia de seguridad o restauración de usuario, archivo de usuario o copia de seguridad o restauración de aplicación.
   
• El servidor de medios para el cliente requiere el puerto TCP para vnetd/13724 y PBX/1556.
• El servidor de medios para el servidor de medios requiere el puerto TCP para vnetd/13724 y PBX/1556, bidireccional.
   
• El cliente para el servidor principal requiere los puertos TCP para PBX/1556 y vnetd/13724 para operaciones iniciadas por el cliente (usuario o aplicación), pero no por el servidor.
• El servidor del cliente al servidor principal requiere puertos TCP para PBX/1556 y vnetd/13724 para reconstrucciones directas de cliente (nuevo en 7.6). 
   
• El cliente de SAN a/de servidores principales/de medios requiere los puertos TCP para vnetd/13724 y PBX/1556, bidireccional. 
   
• Las consolas de administración Java/Windows para servidores principales y de medios requieren los puertos TCP para vnetd/13724 y PBX/1556, bidireccional.  
   
• Para crear una copia de seguridad y restaurar VMWare:
  
  el host de copia de seguridad para el vCenter requiere el puerto TCP 443.
  
  Si se utiliza la VIP (del inglés Query Builder: Generación de Consultas), el servidor principal para vCenter requiere el puerto TCP 443.
  
  Si se utiliza el tipo de transporte de nbd, el host de copia de seguridad para el host ESX requiere el puerto TCP 902.  
   
• Para hacer copia de seguridad y restaurar SharePoint.
  
  Interfaz de usuario para/del cliente de SQL requiere los puertos TCP para vnetd/13724 y PBX/1556, bidireccional.
  
  La interfaz de usuario para/de hosts del cliente SQL también usa el "servicio de registro remoto" que requiere puertos TCP 135, 137, 138, 139 y 445.
  Consulte el artículo de Microsoft: http://msdn.microsoft.com/en-us/library/cc288143.aspx 
   
• Si usa GRT (del inglés Granular Restore Technology: Tecnología Granular de Restauración):
  
  los clientes se deben conectar al servidor de medios en portmap/111 y nbfsd/7394.
   
• Si usa OpsCenter:
  
  los navegadores web requieren los puertos TCP http/80 y https/443 para la GUI de OpsCenter Web con 8181 y 8443 o 8282 y 8553 como alternativas.
  
  Los generadores de informes personalizados requieren el puerto TCP 13786 en el Servidor de OpsCenter.
  
  Abra el puerto 13724(vnetd) entre el servidor de OpsCenter y el servidor principal si ejecuta el informe de Licencia de capacidad.
  
  El servidor de OpsCenter usa el puerto UDP 162 de salida para el protocolo de captura SNMP.
   
• Para crear una copia de seguridad y restaurar los archivadores de NDMP:
  
  el servidor de medios (DMA) para el archivador NDMP (cinta o disco) requiere el puerto TCP 10000.
  
  Se usa el SERVER_PORT_WINDOW entrante del archivador al servidor de medios para NDMP remoto y también se puede usar para el movimiento de archivo de catálogo eficaz (datos TIR) con NDMP locales y de 3 vías.
   
• Si se utiliza VxSS con NBAC (del inglés NetBackup Access Control: Control de Acceso de NetBackup):
  
  los servidores principales requieren los puertos TCP vrts-at-port/2821 y vrts-auth-port/4032 para el servidor VxSS. 
  
  Los servidores de medios requieren los puertos TCP vrts-at-port/2821 y vrts-auth-port/4032 para el servidor de VxSS. 
  
  Los clientes requieren el puerto TCP puerto port vrts-at-port/2821 en el servidor de VxSS.
  
  Las consolas de administración de Java/Windows requieren el puerto TCP vrts-at-port/2821 para el servidor de VxSS.
     
• Si se utiliza el complemento de OpenStorage de DataDomain:
  
  se requiere acceso al puerto TCP 2049, al puerto UDP/TCP 111 y al puerto montado en la matriz DataDomain de destino.
  
  Para la duplicación optimizada, también se requiere acceso al puerto TCP 2051.
      
• Si se utiliza la duplicación optimizada (incluida la replicación automática de imágenes):
  
  para MSDP-a-MSDP, el servidor de almacenamiento de origen necesita acceso a spad/10102 y spoold/10082 en el servidor de destino.
  
  Para MSDP a PDDO, el servidor de almacenamiento de origen necesita acceso a SPA/443 y spoold/10082 en el servidor de destino.
  
  Para PDDO a PDDO, el servidor de almacenamiento de origen necesita acceso a SPA/443 y spoold/10082 en el servidor de destino.
   
• Para la AIR (del inglés Automatic Image Replication: Replicación Automática de Imágenes)
  
  Además de los puertos para la duplicación optimizada, también abra el puerto TCP para PBX/1556 entre los servidores principales.
   
• Para los dispositivos de NetBackup 5xxx:
  
  abra ssh/22, http 80 y https 443 entrantes para la administración en banda.
  
  Abra http/80 y https 443 entrantes para la IPMI (del inglés Intelligent Platform Management Interface: Interfaz de Administración de Plataforma Inteligente) para la administración fuera de banda.
  
  Abra 5900 entrante a IPMI para la redirección de ISO/CDROM virtual y consola remota KVM/CLI del administrador de almacenamiento integrado NetBackup (dispositivos de 5020/5200).  
                 También se usa el puerto 623 si se abre.
  
  Abra 7578 entrante para el IPMI para CLI de acceso con consola remota (dispositivos 5220/5x30).
  
  Abra 5120 entrante para el IPMI para redirección virtual ISO/CDROM con consola remota (dispositivos 5220/5x30).
  
  Abra 5123 entrante para el IPMI para redirección flexible virtual ISO/CDROM con consola remota (dispositivos 5220/5x30).
  
  Abra https/443 saliente para el servidor Symantec Call Home para la supervisión y mensajería proactivas del hardware.
  
  Abra https/443 saliente para el servidor SCSP (del inglés Symantec Critical System Protection: Protección de Sistema Crítica de Symantec) para descargar los certificados de SCSP.
  
  Abra snmp/162 saliente para el servidor SNMP para alertas y las capturas SNMP.
  
  Abra 11111 entre los dispositivos PureDisk para el descubrimiento de topología de varios nodos.

•  Para el puerto 5637 del contenedor de servicio CloudStore de NetBackup

Consideraciones de NetBackup 7.0.1

Los procesos de bpcd y vnetd se ejecutan de forma independiente.  Estos y los otros procesos de una versión anterior ahora se registran con PBX en el inicio.  Las conexiones a los procesos de una versión anterior que previamente comunicaban con el puerto vnetd ahora prefieren usar el puerto PBX 1556.  Si no se puede acceder al puerto PBX, se empleará el puerto vnetd.  Si no se puede acceder al puerto vnetd, se empleará el puerto daemon.  Al abrir el puerto TCP 1556 saliente desde servidores de NetBackup hasta clientes de NetBackup, no ocurrirán retrasos que suceden al tratar de usar PBX.  Del mismo modo, si abre el puerto TCP 1556 entrante, no ocurrirán retrasos para solicitudes iniciadas por el cliente en el servidor principal. 

Tenga en cuenta que la consola de Java del servidor principal usa el puerto vnetd para la conexión con bpjobd y el puerto PBX para todas las demás conexiones.

Para fines de eficacia, la actualización/instalación también agrega opciones de conexión de '1 0 2' para localhost.  Los sockets internos en la interfaz de bucle cerrado para los procesos en el mismo host utilizarán los puertos daemon en lugar de pasar a través de vnetd o PBX.

Consideraciones de NetBackup 7.1

NBAC se integró a NetBackup, y se utilizarán los procesos nbatd y nbazd en lugar de vxatd y vxazd.  Esos procesos se registran con PBX para las conexiones entrantes mediante el puerto PBX 1556, eliminando la necesidad de tener puertos abiertos en el servidor VxSS.

Los procesos también consisten en escuchar los puertos TCP 13783 y 13722 respectivamente.  Estas cifras de puerto se registran con IANA usando los nombres originales de servicio 'vopied' y 'bpjava msvc' y se resuelven usando esos nombres originales de NetBackup.  Los hosts de nivel posterior no son conscientes de los procesos nuevos disponibles mediante el puerto 1556 y continuarán poniéndose en contacto con vxatd y vxazd mediante vrts-at-port/2821 y vrts-at-auth/4032.

Las copias de seguridad de instantáneas puede experimentar un retraso pequeño durante la eliminación de instantáneas si el puerto 1556 no se abre desde el cliente hasta el servidor principal.

Consideraciones de NetBackup 7.5

La función de cliente resiliente requiere que vnetd/13724 esté abierto bidireccional entre el servidor de medios y los hosts de cliente.  Si usan las operaciones dirigidas al cliente, vnetd/13724 debe estar abierto bidireccional entre el cliente y el servidor principal.  Esta función no puede utilizar PBX/1556.

Las copias de seguridad de instantáneas pueden experimentar retrasos antes y después de la transferencia de datos si el puerto 1556 no está abierto desde el cliente hasta el servidor principal.

Consideraciones de NetBackup 7.6

La función de restauración directa del cliente requiere que los puertos TCP para PBX/1556 y vnetd/13724 se abran desde el cliente hasta el servidor principal para la conexión de puerto de la lista de archivos; independientemente de si la restauración es iniciada por el servidor o cliente.

Consideraciones de NAT (del inglés Network Address Translation: Traducción de Direcciones de Red) y PAT (del inglés Port Address Translation: Traducción de Direcciones de Puerto)

El uso de NAT y PAT no es compatible con NetBackup.  Consulte TECH15006 en la sección Artículos relacionados para obtener más información.