Oracle Cloud Infrastructureドキュメント

セキュリティ・ルールの定義

管理者は、ビッグ・データ・サービス・リソースとの間でのネットワーク・トラフィックを制御するために、セキュリティ・ルールを構成する必要があります。

背景

Oracle Cloud Infrastructureでは、クラウド・リソースとの間のトラフィックを制御するために、2種類の仮想ファイアウォールを使用できます。セキュリティ・リストには、サブネット全体に適用されるセキュリティ・ルールが含まれます。ネットワーク・セキュリティ・グループには、グループ単位に編成された定義済のリソース・セットに適用されるセキュリティ・ルールが含まれます。ネットワーク・セキュリティ・グループを使用すると、より詳細な制御が可能になりますが、セキュリティ・リストのほうが設定とメンテナンスは容易です。

セキュリティ・リストとネットワーク・セキュリティ・グループのどちらにも、セキュリティ・ルールが含まれます。セキュリティ・ルールは、仮想ネットワーク・インタフェース・カード(VNIC)を経由する特定のタイプのトラフィックを許可します。

ノート

VNICは、インスタンス(ビッグ・データ・サービスではノード)などのネットワーク・リソースを仮想クラウド・ネットワーク(VCN)に接続できるようにするネットワーキング・コンポーネントです。VNICは、インスタンスがVCNの内外のエンドポイントと接続する方法を決定します。各VNICは、VCN内のサブネットに存在します。セキュリティ・リストは、サブネット内のすべてのVNICに適用されるセキュリティ・ルールのセットを定義します。ネットワーク・セキュリティ・グループは、定義したVNICのグループに適用されるセキュリティ・ルールのセットを定義します。

ネットワーク・アーキテクチャにおけるVNICの役割を理解することが重要ですが、このドキュメントの目的上、VCNおよびサブネットでセキュリティ・ルールがどのように機能するか説明するだけで通常は十分です。

詳細は、セキュリティ・ルールを参照してください。

セキュリティ・リストへのセキュリティ・ルールの作成

通常、ビッグ・データ・サービスでは、セキュリティ・リストが使用されます。つまり、サブネットにセキュリティ・ルールを作成すると、そのサブネット内のすべてのクラスタにそれらのルールが適用されます。次の手順では、クラスタで使用されるサブネットに定義されたセキュリティ・リスト内にセキュリティ・ルールを作成する方法について説明します。

1つのセキュリティ・リストで、イングレス・ルール(受信トラフィック用)とエグレス・ルール(送信トラフィック用)の両方を定義できます。

各セキュリティ・ルールで指定します:
  • 方向(イングレスまたはエグレス)
  • ステートフルまたはステートレス
  • ソース・タイプおよびソース(イングレス・ルールのみ)

セキュリティ・ルールの詳細は、セキュリティ・ルールの構成要素を参照してください。

次の各セクションでは、ビッグ・データ・サービス・クラスタのイングレス・ルールとエグレス・ルールの作成について具体的に説明します。

イングレス・ルールの作成(およびポートを開く)

Apache Ambari、Cloudera Manager、Hueなどのサービスへのアクセスを許可するには、ビッグ・データ・サービス・クラスタで特定のポートを開く必要があります。クラスタに適用されるセキュリティ・イングレス・ルールで、これらのポートを構成します。

イングレス・ルールの作成の詳細は、ビッグ・データ・サービス固有の次のコンテンツを含むセキュリティ・ルールを参照してください:
  1. 「イングレス・ルールの追加」ダイアログ・ボックスで、次のオプションを設定して、SSHアクセス用のポート22を開きます(まだ開いていない場合):
    • ステートレス: このボックスは選択を解除したままにします。これにより、ルールがステートフルになります。つまり、インスタンスに適用可能なエグレス・ルールがあっても、受信トラフィックへのレスポンスはすべて元のホストに戻されます。
    • ソース・タイプ: 「CIDR」を選択します。
    • ソースCIDR: 0.0.0.0/0を入力します。これは、インターネット上のすべてのソースからのトラフィックが許可されることを示します。
    • IPプロトコル: 「TCP」を選択します。
    • ソース・ポート範囲: デフォルトの「すべて」を受け入れます。
    • 宛先ポート範囲: SSHを介したアクセスを許可するために、22と入力します。
    • 説明: オプションの説明を追加します。
  2. ダイアログ・ボックスの下部で「+別のイングレス・ルール」をクリックし、別のルールに値を入力します。これを必要な回数行って必要なすべてのルールを作成し、「イングレス・ルールの追加」をクリックします。

    イングレス・ルールの宛先ポート範囲およびルールの例の詳細は、イングレス・ルールの宛先ポート範囲を参照してください

イングレス・ルールの宛先ポート範囲

クラスタに一般的なイングレス・ルール・セットを作成するには、指定した「宛先ポート範囲」でルールを作成します:
  • SSH - ポート22
  • Apache Ambari - ポート7183
  • Cloudera Manager - ポート7183
  • Hue - ポート8888
  • Webリソース・マネージャ - ポート8090
  • Spark履歴サーバー - ポート18088
  • Cloud SQL (Cloud SQLがインストールされている場合) -ポート 1521

イングレス・ルールは次のようになります:

エグレス・ルールの作成

クラスタの作成時に、NATゲートウェイを使用するかどうかのオプションがあります。このオプションを選択するかどうかが、アウトバウンド・トラフィックを制御する方法に影響します。

  • クラスタの作成時にNATゲートウェイ・オプションを選択した場合、すべてのノードはパブリック・インターネットへの完全なアウトバウンド・アクセスが可能になります。どのような方法でもそのアクセスを制限できません(たとえば、エグレスをいくつかのIP範囲のみに制限します)。

  • クラスタの作成時にNATゲートウェイを作成しないように選択した場合、クラスタにアクセスするために使用しているVCNでNATゲートウェイを作成できます。このNATゲートウェイでポリシーを編集して、指定したIP範囲にエグレスを制限することもできます。

  • VM IPをパブリックIPにマップする場合、NATゲートウェイは必要ありません。

エグレス・ルールの作成の詳細は、セキュリティ・ルールを参照してください。