すべてのプロダクト
Search
ドキュメントセンター

E-MapReduce:ネットワークアクセスとセキュリティ設定

最終更新日:Jun 30, 2026

このトピックでは、ネットワークアクセスタイプと、安全で効率的なネットワーク環境を構築するための設定方法について説明します。

ネットワークアクセスタイプ

StarRocks は、VPC アクセスとパブリックアクセスをサポートします。

  • VPC アクセス:ローカル VPC または他の VPC から StarRocks インスタンスにアクセスできます。

  • パブリックアクセス:インターネット経由で StarRocks インスタンスにアクセスできます。パブリックアクセスを有効にした場合でも、VPC からインスタンスにアクセスできます。

    重要
    • StarRocks のパブリックアクセスは、Alibaba Cloud クラシックロードバランサー (CLB) を使用します。発生するネットワークコストは、CLB Billing Overview に従って課金されます。

    • StarRocks インスタンスのパブリックアクセスを有効にすると、複数のクラシックロードバランサー (CLB) インスタンスが Alibaba Cloud アカウントに自動的に作成されます。これらのインスタンスには削除保護が有効になっており、削除できません。

    • デフォルトでは、パブリックアクセスを有効にすると、任意のパブリック IP アドレスからの接続が許可されます。インスタンスを保護するため、アクセス制御ホワイトリストを設定する必要があります。

ネットワークアクセス設定

デフォルトでは、新しい StarRocks インスタンスは内部エンドポイントを使用します。パブリックアクセスが必要な場合は、Instance Details ページで適切なノードに対して有効にすることができます。

  • フロントエンドノード (FE): Instance Details ページの ゲートウェイ情報 セクションで、Enable Access over Internet をクリックします。

  • バックエンド (BE) またはコンピュートノード (CN): 仮想ウェアハウス ページで、対象のウェアハウスの操作列にある 管理 をクリックし、次に Enable Access over Internet をクリックします。

エンドポイントタイプ

エンドポイントには 2 種類のタイプがあります。

  • 内部エンドポイント (同一 VPC 内および vSwitch 間のアクセスをサポート)

    • FE 内部エンドポイントの形式: fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}

      説明

      外部クライアントは、サービスインスタンスに直接接続するのではなく、Server Load Balancer (SLB) エンドポイントに接続します。SLB インスタンスがリクエストを分散して負荷分散を行います。

    • BE 内部エンドポイントの形式: be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}

  • パブリックエンドポイント

    • FE パブリックエンドポイントの形式: fe-{srClusterId}.starrocks.aliyuncs.com:{port}

    • BE パブリックエンドポイントの形式: be-{srClusterId}.starrocks.aliyuncs.com:{port}

説明
  • {srClusterId}: StarRocks インスタンスの ID。

  • {port}: サービスポート番号。FE の場合、クエリポートは 9030、HTTP ポートは 8030 です。BE の場合、HTTP ポートは 8040 です。

ネットワークセキュリティ設定

データを保護するため、ネットワークセキュリティホワイトリストを設定して StarRocks インスタンスへのアクセスを制限します。ネットワークセキュリティ設定には、VPC アクセス用のセキュリティグループホワイトリストと、パブリックアクセス用のアクセス制御ポリシーホワイトリストがあります。

重要

外部攻撃によるセキュリティリスクを防ぐため、権限付与オブジェクト[0.0.0.0/0] に設定しないでください。

  • パブリックアクセス制御ポリシーホワイトリスト

    1. 対象のインスタンスのInstance Detailsページのゲートウェイ情報セクション、および対象のウェアハウスの仮想ウェアハウスの管理ページで、インターネットアドレスの横にあるEnable Access over Internetをクリックします。

    2. インターネットアドレス の横にある Public IP Address Whitelist をクリックします。

    3. Classic Load Balancer (CLB) の Access Control ページで、[エントリの追加] をクリックしてアクセス制限ルールを追加します。

      詳細については、「Access Control for CLB」をご参照ください。

  • VPC アクセスセキュリティグループホワイトリスト

    対象のインスタンスのInstance Detailsページのゲートウェイ情報セクションで、ネットワークタイプを確認し、Server Load Balancer (SLB) が有効になっているかを確認します。

    重要

    インスタンスが PrivateZone から SLB アクセスに切り替わった場合、既存のセキュリティグループ VPC ホワイトリストは無効になります。SLB が有効になると、VPC アクセスは SLB 経由で転送されるため、セキュリティグループホワイトリストでは SLB 経由でルーティングされるトラフィックを制限できません。VPC アクセスセキュリティポリシーを有効に保つため、セキュリティグループ VPC ホワイトリストのエントリを CLB アクセス制御に手動で移行する必要があります。

    • ネットワークタイプSLB の場合、インスタンスはサーバーロードバランサー (SLB) を使用します。

      Instance Details ページの ゲートウェイ情報 セクションで、SLB の表示 をクリックして SLB コンソールに移動し、アクセス制御設定を構成します。詳細については、「CLB のアクセス制御」をご参照ください。

    • ネットワークタイプPrivateZone の場合、インスタンスは サーバーロードバランサー (SLB) を使用しません。

      1. Instance Details ページで、セキュリティ設定 セクションで、Security Group ID の横にある イントラネットのホワイトリスト をクリックします。

      2. イントラネットのホワイトリスト設定 パネルで、デフォルトのホワイトリストグループを変更するか、ホワイトリストグループの追加 をクリックし、名前、および IP アドレスまたは CIDR ブロックを入力します。

      3. OK をクリックします。