NetBackup 6.x 및 7.x 방화벽 포트 요구 사항

문제

NetBackup(NBU) 6.x 및 7.x 호스트가 서로 통신하려면 방화벽을 통해 어떤 TCP 포트가 열려 있어야 합니까?

여기에는 NetBackup 5.x 호스트, 원격 EMM 서버 또는 다른 레거시 프로세스와의 통신을 위한 포트 요구 사항이 포함되지 않습니다.  해당 상세 내역은 Windows 및 UNIX 플랫폼용 NetBackup(tm) 6.0 포트 사용 설명서 및 NetBackup 7.0.1 보안 및 암호화 설명서에 나와 있습니다. 관련 문서를 참조하십시오.
 

원인

NetBackup 6.0의 주요 변경 사항은 CORBA 연결 및 vnetd 전달 소켓을 지원하기 위해 PBX를 도입한 것입니다. 

• PBX는 다중 스레드인 새 프로세스에 대한 인바운드 CORBA 연결을 포트 1556에서 수신하며 이는 vnetd가 단일 스레드 레거시 프로세스에 대해 수행하는 것과 매우 유사합니다.  따라서 모든 새 프로세스는 포트 1556을 통해 연결될 수 있으며 각 새 프로세스는 고유한 포트에서 수신할 필요가 없습니다. 

• vnetd 전달 소켓은 bpcd 및 기타 레거시 클라이언트 프로세스에 대해 추가 소켓을 여는 데 사용했던 이전의 콜백 메커니즘을 대체합니다.  서비스 소켓 등의 전달 소켓은 서버 호스트에서 클라이언트 호스트 쪽으로 열리므로 서버에서 시작된 표준 백업과 복원 작업만 수행되는 경우 NetBackup 클라이언트에서 TCP SYN 패킷 인바운드를 수락할 필요가 없어집니다.
  
  기본적으로 클라이언트가 다시 연결되지 않으므로 유일한 요구 사항은 아웃바운드 포트입니다. 하지만 클라이언트 속성이 vnetd를 실행 중지하도록 수정된 경우에는 bpcd 및 기타 클라이언트 프로세스에서의 콜백 연결을 위해 Server Port Window 및/또는 Server Reserved Port Widnow가 클라이언트 호스트에서 서버 호스트 쪽으로 인바운드로 열려 있어야 할 수도 있습니다.

보안 정책이 TCP SYN 요청 인바운드를 허용하는 경우 양방향으로 vnetd 포트를 엽니다. 그렇게 하면 사이트가 클라이언트 호스트에서 마스터 서버로의 연결을 시작하는 클라이언트 시작 NetBackup 기능을 활용할 때/경우 구성을 수정할 필요가 없습니다.  예:

• 사용자 주도 표준 백업/목록/복원 작업
• 스트림 기반 데이터베이스(DataSore/DB2/Informix/Oracle/SAP/SQL-Server/Sybase/Teradata/XBSA) 응용 프로그램 백업/복원 작업.  이러한 유형의 클라이언트 시작 작업에서는 요청을 대기시킬 수 있도록 클라이언트 호스트가 마스터 서버에 연결되어야 합니다.
• SAN 클라이언트 작업

서버 간 통신을 위해 PBX(1556)용 TCP 포트는 vnetd용 TCP 포트(13724)와 함께 양방향으로 열려 있어야 합니다.  방화벽 연결 옵션이 미디어 서버에 대한 마스터 서버에서 구성되었다면 Server Port Window 및/또는 Server Reserved Port Window가 콜백 연결을 위해 미디어 서버 호스트에서 마스터 서버 호스트 쪽으로 인바운드로 열려 있어야 할 수도 있으며 bpcd용 TCP 포트 13782가 데몬 연결을 위해 마스터 서버에서 미디어 서버 호스트 쪽으로 아웃바운드로 열려 있어야 할 수도 있습니다.  방화벽 연결 옵션이 마스터 또는 기타 미디어 서버에 대한 미디어 서버에서 구성된 경우 데몬 포트(bpdbm, bpjobd, Robotic Control 등)가 그러한 호스트에서 마스터 서버 쪽으로 열려 있어야 할 수도 있습니다. 

솔루션

기본 구성에 대한 TCP 포트 요구 사항(클라이언트 속성(bpclient) 의 연결 옵션 또는 방화벽(CONNECT_OPTIONS) 설정 또는 별도의 마스터 및 EMM 서버 또는 레거시 보안 고려 사항을 덮어쓰지 않음)은 다음과 같습니다. 

• 마스터 서버에서 미디어 서버/미디어 서버에서 마스터 서버로의 연결에는 vnetd/13724 및 PBX/1556(양방향)용 TCP 포트가 필요합니다.
• 클라이언트가 클라이언트 지향 작업, 사용자 백업/복원, 사용자 아카이브 또는 응용 프로그램 백업/복원을 수행하는 경우 클라이언트 마스터 서버에서 클라이언트로의 연결에는 PBX/1556 및 vnetd/13724용 TCP 포트가 필요합니다.
   
• 미디어 서버에서 클라이언트로의 연결에는 vnetd/13724 및 PBX/1556용 TCP 포트가 필요합니다.
• 미디어 서버에서 미디어 서버로의 연결에는 vnetd/13724 및 PBX/1556(양방향)용 TCP 포트가 필요합니다.
   
• 클라이언트에서 마스터 서버로의 연결에는 클라이언트 시작(사용자 또는 응용 프로그램) 작업인 경우 PBX/1556 및 vnetd/13724용 TCP 포트가 필요합니다(서버 시작 작업 경우 제외).
• 클라이언트에서 마스터 서버로의 연결에는 클라이언트 직접 복원(7.6의 새 기능)을 위해 PBX/1556 및 vnetd/13724용 TCP 포트가 필요합니다. 
   
• SAN 클라이언트에서 마스터/미디어 서버, 마스터/미디어 서버에서 SAN 클라이언트로의 연결에는 vnetd/13724 및 PBX/1556(양방향)용 TCP 포트가 필요합니다. 
  
• Java/Windows 관리자 콘솔에서 마스터 및 미디어 서버로의 연결에는 vnetd/13724 및 PBX/1556(양방향)용 TCP 포트가 필요합니다.  
   
• VMWare를 백업 및 복원하려면:
  
  호스트를 VCenter에 백업하려면 TCP 포트 443이 필요합니다.
  
  Query Builder(VIP)를 사용하는 경우 마스터 서버에서 vCenter로의 연결에 TCP 포트 443이 필요합니다.
  
  nbd 전송 유형을 사용하는 경우 백업 호스트에서 ESX 호스트로의 연결에 TCP 포트 902가 필요합니다.
   
• SharePoint를 백업 및 복원하려면:
  
  프론트 엔드에서 SQL 클라이언트 호스트/SQL 클라이언트 호스트에서 프론트 엔드로의 연결에 vnetd/13724 및 PBX/1556(양방향)용 TCP 포트가 필요합니다.
  
  프론트 엔드에서 SQL 클라이언트 호스트/SQL 클라이언트 호스트에서 프론트 엔드로의 연결에는 TCP 포트 135, 137, 138, 139 및 445가 필요한 “원격 레지스트리 서비스”도 사용됩니다.
  Microsoft 문서 참조: http://msdn.microsoft.com/en-us/library/cc288143.aspx  
   
• GRT(Granular Restore Technology)를 사용하는 경우:
  
  클라이언트는 portmap/111 및 nbfsd/7394에서 미디어 서버로 연결되어야 합니다.
   
• OpsCenter를 사용하는 경우:
  
  웹 브라우저에서 OpsCenter 웹 GUI로의 연결에 TCP 포트 http/80 및 https/443이 필요하며, 8181 및 8443 또는 8282 및 8553이 대안으로 사용됩니다.
  
  사용자 정의 리포트 생성기에서 OpsCenter 서버로의 연결에 TCP 포트 13786이 필요합니다.
  
  용량 단위 라이센스 리포트를 실행 중인 경우에는 OpsCenter 서버와 마스터 서버 간에 포트 13724(vnetd)를 엽니다.
  
  OpsCenter 서버는 SNMP 트랩 프로토콜을 위해 UDP 포트 162 아웃바운드도 사용합니다.
   
• NDMP 파일러를 백업 및 복원하려면:
  
  미디어 서버(DMA)에서 NDMP 파일러(테이프 또는 디스크)로의 연결에 TCP 포트 10000이 필요합니다.
  
  SERVER_PORT_WINDOW는 원격 NDMP를 위해 파일러에서 미디어 서버로의 연결에 인바운드로 사용되며 로컬 및 3방향 NDMP를 통한 효과적인 카탈로그 파일(TIR 데이터) 이동을 위해서도 사용될 수 있습니다.
   
• NBAC(NetBackup Access Control)와 함께 VxSS를 사용하는 경우:
  
  마스터 서버에서 VxSS 서버로의 연결에 TCP 포트 vrts-at-port/2821 및 vrts-auth-port/4032가 필요합니다. 
  
  미디어 서버에서 VxSS 서버로의 연결에 TCP 포트 vrts-at-port/2821 및 vrts-auth-port/4032가 필요합니다. 
  
  클라이언트에서 VxSS 서버로의 연결에 TCP 포트 vrts-at-port/2821이 필요합니다.
  
  Java/Windows 관리 콘솔에서 VxSS 서버로의 연결에 vrts-at-port/2821이 필요합니다.
     
• DataDomain의 OpenStorage 플러그인을 사용하는 경우:
  
  TCP 포트 2049, UDP/TCP 포트 111 및 대상 DataDomain 어레이의 mountd 포트에 대한 액세스가 필요합니다.
  
  최적화된 복제를 위해 TCP 포트 2051에 대한 액세스도 필요합니다.
      
• 최적화된 복제(자동 이미지 복제 포함)를 사용하는 경우:
  
  MSDP-MSDP의 경우 원본 저장소 서버에서 대상 서버의 spad/10102 및 spoold/10082에 액세스할 수 있어야 합니다.
  
  MSDP-PDDO의 경우 원본 저장소 서버에서 대상 서버의 SPA/443 및 spoold/10082에 대한 액세스할 수 있어야 합니다.
  
  PDDO-PDDO의 경우 원본 저장소 서버에서 대상 서버의 SPA/443 및 spoold/10082에 대한 액세스할 수 있어야 합니다.
   
• AIR(자동 이미지 복제)의 경우
  
  최적화된 복제를 위한 포트 외에 마스터 서버 사이의 PBX/1556용 TCP 포트도 엽니다.
   
• NetBackup 5xxx Appliance의 경우:
  
  대역 내 관리를 위해 ssh/22, http/80 및 https/443 인바운드를 엽니다.
  
  대역 외 관리를 위해 IPMI(지능형 플랫폼 관리 인터페이스)로 http/80 및 https/443 인바운드를 엽니다.
  
  KVM 원격 콘솔/CLI 및 NetBackup Integrated Storage Manager(5020/5200 어플라이언스)에서의 가상 ISO/CDROM 리디렉션을 위해 IPMI로 5900 인바운드를 엽니다.  
                 열려 있는 경우 포트 623도 사용됩니다.
  
  원격 콘솔 CLI 액세스(5220/5x30 어플라이언스)를 위해 IPMI로 7578 인바운드를 엽니다.
  
  원격 콘솔 가상 ISO/CD-ROM 리디렉션(5220/5x30 어플라이언스)을 위해 IPMI로 5120 인바운드를 엽니다.
  
  원격 콘솔 가상 플로피 리디렉션(5220/5x30 어플라이언스)을 위해 IPMI로 5123 인바운드를 엽니다.
  
  예방적인 하드웨어 모니터링 및 메시징을 위해 Symantec Call Home 서버로 https/443 아웃바운드를 엽니다.
  
  SCSP 인증서를 다운로드하기 위해 SCSP(Symantec Critical System Protection)로 https/443 아웃바운드를 엽니다.
  
  SNMP 트랩 및 경고를 위해 SNMP 서버로 snmp/162 아웃바운드를 엽니다.
  
  다중 노드 토폴로지 검색을 위해 PureDisk 어플라이언스 간에 11111을 엽니다.

•  NetBackup CloudStore Service Container 의 경우 포트 5637

NetBackup 7.0.1 고려 사항

bpcd 및 vnetd 프로세스가 이제 독립형으로 실행됩니다.  이러한 프로세스와 기타 레거시 프로세스는 이제 시작 시 PBX에 등록됩니다.  이전에 vnetd 포트에 연결했던 레거시 프로세스에 대한 연결에는 이제 PBX 포트 1556이 우선적으로 사용됩니다.  PBX 포트에 연결할 수 없는 경우에는 vnetd 포트가 사용됩니다.  vnetd 포트에 연결할 수 없는 경우에는 데몬 포트가 사용됩니다.  TCP 포트 1556 아웃바운드를 NetBackup 서버에서 NetBackup 클라이언트 쪽으로 열면 PBX 사용 시도 중에 발생하는 지연을 방지할 수 있습니다.  마찬가지로 TCP 포트 1556 인바운드를 열면 마스터 서버에 대한 클라이언트 시작 요청이 지연되는 것을 방지합니다.

Java 콘솔에서 마스터 서버로의 연결의 경우 bpjobd로의 연결에는 vnetd 포트를 사용하며 그 외의 모든 연결에는 PBX 포트를 사용합니다.

효율성을 위해 업그레이드/설치 시에도 로컬 호스트에 대해 ‘1 0 2’의 연결 옵션이 추가됩니다.  루프백 인터페이스의 내부 소켓에서 동일한 호스트의 프로세스로의 연결에서는 vnetd 또는 PBX를 통과하는 대신 데몬 포트를 사용합니다.

NetBackup 7.1 고려 사항

NBAC(NetBackup Access Control)는 NetBackup과 통합되었으며 nbatd 및 nbazd 프로세스가 vxatd 및 vxazd 대신 사용됩니다.  이러한 프로세스는 PBX 포트 1556을 통한 인바운드 연결을 위해 PBX에 등록되므로 VxSS 서버에 대해 포트를 열어 둘 필요가 없습니다.

또한 해당 프로세스는 각각 TCP 포트 13783 및 13722에서 수신합니다.  이러한 포트 번호는 'vopied' 및 ' bpjava-msvc'의 원래 서비스 이름을 사용하여 IANA에 등록되며 그러한 원래 서비스 이름을 사용하여 NetBackup에 의해 확인됩니다.  백업 수준 호스트는 1556 포트를 통해 사용할 수 있는 새 프로세스를 인식하지 못하며 계속 vrts-at-port/2821 및 vrts-at-auth/4032를 통해 vxatd 및 vxazd에 연결합니다.

1556 포트가 클라이언트에서 마스터 서버 쪽으로 열려 있지 않은 경우 스냅샷 백업 시 스냅샷 삭제 중에 약간의 지연이 발생할 수 있습니다.

NetBackup 7.5 고려 사항

탄력적 클라이언트 기능을 사용하려면 vnetd/13724가 미디어 서버와 클라이언트 호스트 간에 양방향으로 열려 있어야 합니다.  클라이언트 지향 작업을 활용하는 경우 vnetd/13724가 클라이언트와 마스터 서버 간에 양방향으로 열려 있어야 합니다.  이 기능에서는 PBX/1556를 사용할 수 없습니다.

1556 포트가 클라이언트에서 마스터 서버 쪽으로 열려 있지 않은 경우 스냅샷 백업 시 데이터 전송 전후에 지연이 발생할 수 있습니다.

NetBackup 7.6 고려 사항

클라이언트 직접 복원 기능을 이용하려면 복원 시작 위치가 서버이든 클라이언트든 관계없이 파일 목록 포트 연결을 위해 PBX/1556 및 vnetd/13724용 TCP 포트가 클라이언트에서 마스터 서버 쪽으로 열려 있어야 합니다.

NAT(네트워크 주소 변환) 및 PAT(포트 주소 변환) 고려 사항

NAT 및 PAT의 사용은 NetBackup을 통해 지원되지 않습니다.  자세한 내용은 관련 문서 섹션에서 TECH15006을 참조하십시오.