このトピックでは、ネットワークアクセスタイプと、安全で効率的なネットワーク環境を構築するための設定方法について説明します。
ネットワークアクセスタイプ
StarRocks は、VPC アクセスとパブリックアクセスをサポートします。
-
VPC アクセス:ローカル VPC または他の VPC から StarRocks インスタンスにアクセスできます。
-
パブリックアクセス:インターネット経由で StarRocks インスタンスにアクセスできます。パブリックアクセスを有効にした場合でも、VPC からインスタンスにアクセスできます。
重要-
StarRocks のパブリックアクセスは、Alibaba Cloud クラシックロードバランサー (CLB) を使用します。発生するネットワークコストは、CLB Billing Overview に従って課金されます。
-
StarRocks インスタンスのパブリックアクセスを有効にすると、複数のクラシックロードバランサー (CLB) インスタンスが Alibaba Cloud アカウントに自動的に作成されます。これらのインスタンスには削除保護が有効になっており、削除できません。
-
デフォルトでは、パブリックアクセスを有効にすると、任意のパブリック IP アドレスからの接続が許可されます。インスタンスを保護するため、アクセス制御ホワイトリストを設定する必要があります。
-
ネットワークアクセス設定
デフォルトでは、新しい StarRocks インスタンスは内部エンドポイントを使用します。パブリックアクセスが必要な場合は、Instance Details ページで適切なノードに対して有効にすることができます。
-
フロントエンドノード (FE): Instance Details ページの ゲートウェイ情報 セクションで、Enable Access over Internet をクリックします。
-
バックエンド (BE) またはコンピュートノード (CN): 仮想ウェアハウス ページで、対象のウェアハウスの操作列にある 管理 をクリックし、次に Enable Access over Internet をクリックします。
エンドポイントタイプ
エンドポイントには 2 種類のタイプがあります。
-
内部エンドポイント (同一 VPC 内および vSwitch 間のアクセスをサポート)
-
FE 内部エンドポイントの形式:
fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}説明外部クライアントは、サービスインスタンスに直接接続するのではなく、Server Load Balancer (SLB) エンドポイントに接続します。SLB インスタンスがリクエストを分散して負荷分散を行います。
-
BE 内部エンドポイントの形式:
be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}
-
-
パブリックエンドポイント
-
FE パブリックエンドポイントの形式:
fe-{srClusterId}.starrocks.aliyuncs.com:{port} -
BE パブリックエンドポイントの形式:
be-{srClusterId}.starrocks.aliyuncs.com:{port}
-
-
{srClusterId}: StarRocks インスタンスの ID。 -
{port}: サービスポート番号。FE の場合、クエリポートは 9030、HTTP ポートは 8030 です。BE の場合、HTTP ポートは 8040 です。
ネットワークセキュリティ設定
データを保護するため、ネットワークセキュリティホワイトリストを設定して StarRocks インスタンスへのアクセスを制限します。ネットワークセキュリティ設定には、VPC アクセス用のセキュリティグループホワイトリストと、パブリックアクセス用のアクセス制御ポリシーホワイトリストがあります。
外部攻撃によるセキュリティリスクを防ぐため、権限付与オブジェクト を [0.0.0.0/0] に設定しないでください。
-
パブリックアクセス制御ポリシーホワイトリスト
-
対象のインスタンスのInstance Detailsページのゲートウェイ情報セクション、および対象のウェアハウスの仮想ウェアハウスの管理ページで、インターネットアドレスの横にあるEnable Access over Internetをクリックします。
-
インターネットアドレス の横にある Public IP Address Whitelist をクリックします。
-
Classic Load Balancer (CLB) の Access Control ページで、[エントリの追加] をクリックしてアクセス制限ルールを追加します。
詳細については、「Access Control for CLB」をご参照ください。
-
-
VPC アクセスセキュリティグループホワイトリスト
対象のインスタンスのInstance Detailsページのゲートウェイ情報セクションで、ネットワークタイプを確認し、Server Load Balancer (SLB) が有効になっているかを確認します。
重要インスタンスが PrivateZone から SLB アクセスに切り替わった場合、既存のセキュリティグループ VPC ホワイトリストは無効になります。SLB が有効になると、VPC アクセスは SLB 経由で転送されるため、セキュリティグループホワイトリストでは SLB 経由でルーティングされるトラフィックを制限できません。VPC アクセスセキュリティポリシーを有効に保つため、セキュリティグループ VPC ホワイトリストのエントリを CLB アクセス制御に手動で移行する必要があります。
-
ネットワークタイプ が SLB の場合、インスタンスはサーバーロードバランサー (SLB) を使用します。
Instance Details ページの ゲートウェイ情報 セクションで、SLB の表示 をクリックして SLB コンソールに移動し、アクセス制御設定を構成します。詳細については、「CLB のアクセス制御」をご参照ください。
-
ネットワークタイプ が PrivateZone の場合、インスタンスは サーバーロードバランサー (SLB) を使用しません。
-
Instance Details ページで、セキュリティ設定 セクションで、Security Group ID の横にある イントラネットのホワイトリスト をクリックします。
-
イントラネットのホワイトリスト設定 パネルで、デフォルトのホワイトリストグループを変更するか、ホワイトリストグループの追加 をクリックし、名前、および IP アドレスまたは CIDR ブロックを入力します。
-
OK をクリックします。
-
-