すべてのプロダクト
Search

このプロダクト

    E-MapReduce:ネットワークアクセスとセキュリティ設定

    ドキュメントセンター

    E-MapReduce:ネットワークアクセスとセキュリティ設定

    最終更新日:Nov 09, 2025

    このトピックでは、ネットワークアクセスの種類と、ネットワーク環境を安全かつ効率的に設定するための設定方法について説明します。

    ネットワークアクセスの種類

    StarRocks は、Alibaba Cloud Virtual Private Cloud (VPC) 内からとインターネットからのアクセスをサポートしています。

    • Alibaba Cloud VPC からのアクセス: インスタンスが配置されている VPC または別の VPC から StarRocks インスタンスにアクセスして使用できます。

    • インターネットアクセス: インターネットから StarRocks インスタンスにアクセスして使用できます。StarRocks インスタンスは、Alibaba Cloud VPC 内からもアクセスできます。

      重要

      • StarRocks のインターネットアクセスは、Alibaba Cloud Server Load Balancer (SLB) 機能を使用します。ネットワーク料金は、CLB 課金概要 に基づいて請求されます。

      • StarRocks インスタンスのインターネットアクセスを有効にすると、Alibaba Cloud アカウントに一連の SLB インスタンスが自動的に作成されます。これらの SLB インスタンスでは削除保護が有効になっており、削除できなくなります。

      • デフォルトでは、StarRocks インスタンスでインターネットアクセスが有効になっている場合、インスタンスは任意のパブリック IP アドレスからアクセスできます。StarRocks インスタンスを保護するには、アクセス制御ポリシーでホワイトリストを使用する必要があります。

    ネットワークタイプの設定

    新しい StarRocks インスタンスは、デフォルトで内部の同一リージョンエンドポイントを使用します。パブリックアクセスが必要な場合は、ターゲットインスタンスの [インスタンス詳細] ページで対応するノードのパブリックアクセスを有効にできます。

    • Frontend (FE) ノード: [インスタンス詳細] ページの [ゲートウェイ情報] エリアで、[パブリックアクセスを有効にする] をクリックします。

    • Backend (BE)/Compute (CN) ノード: [計算グループ] ページで、ターゲット計算グループの [アクション] 列にある [管理] をクリックし、次に [パブリックアクセスを有効にする] をクリックします。

    ネットワークエンドポイントの種類

    ネットワークエンドポイントには 2 種類あります。

    • 内部エンドポイント (現在の VPC 内および vSwitch 間のアクセスをサポート)

      • FE ノードの内部エンドポイントのフォーマットは次のとおりです: fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}

        説明

        外部クライアントが SLB インスタンスにアクセスすると、SLB ドメイン名に接続します。その後、SLB インスタンスはリクエストをバックエンドサービスインスタンスに分散して、ロードバランシングを提供します。

      • BE ノードの内部エンドポイントのフォーマットは次のとおりです: be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}

    • パブリックエンドポイント

      • FE ノードのパブリックエンドポイントのフォーマットは次のとおりです: fe-{srClusterId}.starrocks.aliyuncs.com:{port}

      • BE ノードのパブリックエンドポイントのフォーマットは次のとおりです: be-{srClusterId}.starrocks.aliyuncs.com:{port}

    説明

    • {srClusterId}: StarRocks インスタンス ID。

    • {port}: サービスポート番号。FE ノードのクエリポートと HTTP ポートは、それぞれ 9030 と 8030 です。BE ノードの HTTP ポートは 8040 です。

    ネットワークセキュリティ設定

    ネットワークセキュリティホワイトリストを設定して、StarRocks インスタンスへのアクセスを制限し、サービスデータのセキュリティを確保できます。ネットワークセキュリティ設定には、VPC アクセス用のセキュリティグループホワイトリストと、インターネットアクセス用のアクセス制御ポリシーホワイトリストが含まれます。

    重要

    外部攻撃によるセキュリティ問題を回避するため、[承認オブジェクト][0.0.0.0/0] に設定しないでください。

    • インターネットアクセス制御ポリシーのホワイトリスト

      1. ターゲットインスタンスの [インスタンス詳細] ページ、[ゲートウェイ情報] エリア、およびターゲット計算グループの [計算グループの管理] ページで、[パブリックエンドポイント] を見つけて [パブリックエンドポイントを有効にする] をクリックします。

      2. [パブリック IP アドレス] の横にある [パブリックホワイトリスト] をクリックします。

      3. SLB の [アクセス制御] ページで、[エントリを追加] をクリックし、適切なアクセス制御ルールを追加します。

        詳細については、「リソースアクセス管理」をご参照ください。

    • VPC セキュリティグループのホワイトリスト

      ターゲットインスタンスの [インスタンス詳細] ページの [ゲートウェイ情報] セクションで、[ネットワークタイプ] を確認して SLB が有効になっているかどうかを確認します。

      • [ネットワークタイプ][SLB] の場合、SLB は有効です。

        ターゲットインスタンスの [インスタンス詳細] ページの [ゲートウェイ情報] セクションで、[SLB を表示] をクリックします。SLB コンソールにリダイレクトされ、アクセス制御設定を構成します。詳細については、「リソースアクセス管理」をご参照ください。

      • [ネットワークタイプ][PrivateZone] の場合、SLB は有効になっていません。

        1. ターゲットインスタンスの [インスタンス詳細] ページの [セキュリティ設定] セクションで、[セキュリティグループ ID] の横にある [内部ホワイトリスト] をクリックします。

        2. [イントラネットホワイトリスト設定] パネルで、デフォルトのホワイトリストグループを変更するか、[ホワイトリストグループを追加] をクリックして名前と IP アドレスまたは IP セグメントを入力します。

        3. [OK] をクリックします。