Oracle Cloud Infrastructureドキュメント

ネットワーク・リソースの作成

ビッグ・データ・サービス・クラスタを作成および使用するには、事前にネットワークを作成および構成する必要があります。Oracle Cloud Infrastructureネットワーキング・サービスは、ビッグ・データ・サービスに対してセキュアなネットワーキング・トポロジを確立するための様々な機能を提供します。

Oracle Infrastructure Networkingの詳細は、Oracle Cloud Infrastructureドキュメントのネットワーキングの概要および後続のネットワーキング関連のトピックを参照してください。次の各セクションでは、ビッグ・データ・サービスに固有のネットワーキングの詳細を説明します。

用語

ネットワークという用語は、VCN内のVirtual Cloud Network (VCN)またはサブネットを指します。違いが異なる場合には、VCNまたはサブネットが使用されます。

インスタンス、ホストおよびノードは、同じ意味で使用されます。ただし、Hadoopクラスタを構成するホストはノードと呼ばれるため、このドキュメント全体にわたってノードが使用されます。

ネットワークの理解

Oracle Cloud Infrastructureでは、ネットワークは、少なくとも1つのサブネットを含む少なくとも1つの仮想クラウド・ネットワーク(VCN)と、仮想ネットワーク・インタフェース・カード(VNIC)、ゲートウェイ、ルート表、セキュリティ・ルールおよびその他の仮想ネットワーキング機能で構成されます。単純な開発環境では、単一のリージョンに単一のサブネットを持つ単一のVCNがあり、パブリック・インターネットへのアクセス権を設定するだけで十分なこともあります。複雑な本番環境では、VCNをオンプレミス・ネットワークに接続し、他のリージョン内の他のVCNとピアする必要があることもあります。

ビッグ・データ・サービスに使用されるネットワークは、Oracle Cloud Infrastructureネットワークの一般的な要件を満たしている必要があります(Oracle Cloud Infrastructureドキュメントのネットワーキングの概要および後続のネットワーキング関連のトピックを参照)。これらの要件に加えて、ビッグ・データ・サービスに固有の次の情報も考慮してください:

サブネットの作成および使用

サブネットは、VCN内の他のサブネットと重複しないIPアドレス範囲を割り当てることによって、VCNを分割します。ビッグ・データ・サービス用のネットワークを作成する場合は、次のことを考慮してください:

サブネットはリージョナルである必要があり、パブリックにすることができます:

  • Oracle Cloud Infrastructureでは、サブネットは単一の可用性ドメインに存在することも、リージョン全体に広がることもできます。ビッグ・データ・サービスには、リージョナル・サブネットが必要です。したがって、ビッグ・データ・サービス用のVCNを作成する場合は、その中に少なくとも1つのリージョナル・サブネットを作成する必要があります。

  • クラスタ・ノードは、デフォルトではプライベートです。パブリック・インターネットからクラスタにアクセスできるようにする場合は、パブリック・サブネットを使用する必要があります。その場合は、VCNを作成するときに、作成するリージョナル・サブネット(前述を参照)もパブリックにする必要があります。「ノードにアクセスできるようにする」を参照してください。

クラスタを作成するときに、クラスタに使用するVCNおよびサブネットを指定します。クラスタの作成を参照してください。

ノードにアクセスできるようにする

前述のように、クラスタ・ノードはデフォルトでプライベートです。ノードはプライベートIPアドレスを使用して作成され、すべてのポートはデフォルトで閉じています(SSHアクセス用に開いているポート22を除く)。したがって、ノードへのアクセスを許可するようにネットワークを構成する必要があります。

ノードのセキュリティ・ルールの構成

セキュリティ・ルールは、(ノードをネットワークに接続する) VNICを経由する特定のタイプのトラフィックを許可します。各セキュリティ・ルールでは、方向(イングレスまたはエグレス)、ステートフルまたはステートレス、ソース・タイプとソース(イングレス・ルールの場合)、宛先タイプと宛先(エグレス・ルールの場合)、IPプロトコル、ソース・ポート、宛先ポート、ICMPタイプとコードを指定します。

クラスタ・ノードとの間のネットワーク・トラフィックを許可するには、ノードのセキュリティ・ルールを構成する必要があります。これは、パブリック・インターネット、プライベート・ネットワーク、またはその両方からアクセス可能にするすべてのノードに対して行います。

このドキュメントのセキュリティ・ルールの定義およびOracle Cloud Infrastructureドキュメントのセキュリティ・ルールを参照してください。

インターネットからノードにアクセスできるようにする

インターネットからノードにパブリックにアクセスできるようにするためには、次のことが必要です:

また、Oracle Cloud Infrastructureドキュメントのインターネットへのアクセスも参照してください。

顧客ネットワークとクラスタ・プライベート・ネットワーク

ビッグ・データ・サービス・クラスタはデュアルホームです。クラスタのノードは、Oracleテナンシ内のクラスタ・プライベート・ネットワークとテナンシ内の顧客ネットワークの両方に接続されます。

クラスタ・プライベート・ネットワークについて

クラスタ・プライベート・ネットワークはVirtual Cloud Network (VCN)であり、クラスタの作成時にOracleテナンシに作成されます。このネットワークの特性:

  • クラスタを作成するとき、CIDRブロックを指定してネットワークにIPアドレスの範囲を割り当てるように求められます。このCIDRブロックは、顧客プライベート・ネットワークのCIDRブロックと重複できません。
  • クラスタ・ノードのプライベートIPアドレスは、このVCN内のプライベート・サブネットのCIDRブロックから割り当てられます。

  • ネットワークはクラスタのノード間のプライベート通信専用に使用されます。たとえば、分散データ処理、サービス監視などです。デフォルトでは、すべてのポートが開いています。

  • サービス・ゲートウェイとネットワーク・アドレス・ゲートウェイをこのネットワークにデプロイするように選択できますが、他の方法では、このネットワーク上にゲートウェイ、ルーティング表またはセキュリティ・リストを構成して、クラスタとの間のネットワーク・トラフィックを制御できません。後述のクラスタ作成時のネットワーキング・ゲートウェイ・オプションを参照してください。

顧客ネットワークについて

顧客ネットワークは顧客テナンシ内にあります。クラスタを作成するには、VCNがすでに存在している(かつ、リージョナル・サブネットを持っている)必要があります。このネットワークの詳細:

  • クラスタを作成するとき、クラスタに関連付ける既存のVCNおよびサブネットを選択するように求められます。

  • クラスタに選択するサブネットは、リージョナル・サブネットである必要があります。いずれかのノードをパブリック・インターネットからのトラフィックが通過できるようにする場合は、パブリック・サブネットを選択する必要があります。IPSec VPNまたはOracle Cloud Infrastructure FastConnectを使用してオンプレミス・ネットワークに接続している場合は、プライベート・サブネットを使用できますが、それはパブリック・インターネット経由のトラフィックが許可されないことを意味します。
  • このネットワーク上にゲートウェイ、ルーティング表およびセキュリティ・リストを構成して、クラスタとの間のネットワーク・トラフィックを制御できます。
  • 顧客VCNでは、Hadoopコンポーネントが相互に通信するために一部のポートが開かれています。AES 256などの暗号化アルゴリズムを使用して、これらのポート間のネットワーク通信を暗号化することをお薦めします。

クラスタ作成時のネットワーキング・ゲートウェイ・オプション

クラスタを作成するときに、次の2つのオプションのいずれかを選択する必要があります:
  • 「オラクル社が管理するサービス・ゲートウェイとNATゲートウェイをデプロイする(クイック・スタート)」を選択して、サービス・ゲートウェイおよびNATゲートウェイをクラスタ・プライベート・ネットワークにデプロイします。
    • NATゲートウェイを使用すると、パブリックIPアドレスのないノードは、インターネットへの接続を開始したり、インターネットからのレスポンスを受信することはできますが、インターネットから開始されたインバウンド接続を受信することはできません。NAT Gatewayを参照してください。
    • サービス・ゲートウェイを使用すると、パブリックIPアドレスのないノードは、インターネット・ゲートウェイまたはNATゲートウェイにデータを公開することなく、Oracleサービスにプライベートにアクセスできます。サービス・ゲートウェイを参照してください。

    このオプションを選択すると、そのアクセスを制限することはできません。たとえば、エグレスを少数のIP範囲に制限します。このオプションを選択した場合:

    • サービス・ゲートウェイとNATゲートウェイは、クラスタの存続期間中、前述のすべての操作に使用されます。クラスタの作成後は変更できません。また、ネットワーク内のサービス・ゲートウェイまたはNATゲートウェイは無視されます。
    • このNATゲートウェイは、クラスタ・プライベート・ネットワーク内のすべてのノードに、パブリック・インターネットへの完全なアウトバウンド・アクセス権を付与します。
    • NATゲートウェイまたはサービス・ゲートウェイに送信されるトラフィックをさらに制限することはできません。たとえば、特定のIPアドレス間でトラフィックをリダイレクトできません。

  • 顧客ネットワークでサービス・ゲートウェイおよびNATゲートウェイを使用するには、「選択した顧客VCNのゲートウェイを使用する(カスタマイズ可能)」を選択します。

    このオプションを選択した場合:

    • クラスタとの間のネットワーク・トラフィックのルーティングを完全に制御できます。

    • ゲートウェイは自分で作成および構成する必要があります。サービス・ゲートウェイを参照してください。

      コンソールでいずれかのネットワーク作成ウィザードを使用してネットワークを作成する場合、いくつかのゲートウェイが自動的に作成されますが、ニーズにあわせて構成が必要な場合もあります。仮想ネットワーキングのクイックスタートを参照してください。

    • ゲートウェイを介したトラフィックを制限するセキュリティ・ルールを作成および構成する必要があります。
    • 構成はいつでも変更できます。
    • クラスタ・ノードのプライベートIPアドレスをパブリックIPアドレスにマップする場合、NATゲートウェイは必要ありません。パブリックIPアドレスへのプライベートIPアドレスのマップを参照してください。