すべてのプロダクト
Search

このプロダクト

    E-MapReduce:ネットワークアクセスとセキュリティの構成

    ドキュメントセンター

    E-MapReduce:ネットワークアクセスとセキュリティの構成

    最終更新日:Jan 22, 2025

    このトピックでは、ネットワークアクセスの種類について説明し、安全かつ効率的な方法でネットワーク環境を構成するのに役立つネットワークアクセスとセキュリティ設定の構成方法について説明します。

    ネットワークアクセスの種類

    E-MapReduce (EMR) Serverless StarRocks は、次のネットワークアクセスの種類をサポートしています。

    • 仮想プライベートクラウド (VPC) 経由のアクセス: EMR Serverless StarRocks インスタンスがデプロイされている VPC または他の VPC 経由で、EMR Serverless StarRocks インスタンスにアクセスして使用できます。

    • インターネット経由のアクセス: インターネット経由で EMR Serverless StarRocks インスタンスにアクセスして使用できます。この場合、インスタンスには引き続き VPC 経由でアクセスできます。

      重要

      • EMR Serverless StarRocks のインターネットアクセスには、Classic Load Balancer (CLB) が使用されます。「CLB の課金概要」で説明されている情報に基づいて、インターネットアクセスに対してネットワーク料金が課金されます。

      • StarRocks インスタンスでインターネットアクセスが有効になっている場合、Alibaba Cloud アカウント内に一連の CLB インスタンスが自動的に作成されます。CLB インスタンスでは削除保護機能が有効になっています。この場合、特に必要がない限り、CLB インスタンスを削除することはできません。

      • デフォルトでは、StarRocks インスタンスでインターネットアクセスを有効にすると、すべてのパブリック IP アドレスを使用して StarRocks インスタンスにアクセスできます。StarRocks インスタンスでアクセスの制御のためにホワイトリストを構成できます。

    ネットワークアクセス設定の構成

    デフォルトでは、新しい StarRocks インスタンスへのアクセスには内部エンドポイントが使用されます。インターネット経由でインスタンスにアクセスする場合は、インスタンスの [インスタンスの詳細] タブで、インスタンス内のノードのインターネットアクセスを有効にできます。

    • フロントエンドノード (FE): [インスタンスの詳細] タブの [FE の詳細] セクションで、パブリックエンドポイントパラメータの右側にある [インターネット経由のアクセスを有効にする] をクリックします。「インターネット経由のアクセスを有効にする」メッセージで、[OK] をクリックします。

    • バックエンドノード (BE): [インスタンスの詳細] タブの BE の詳細セクションで、[倉庫タブに移動] をクリックします。表示されるページで、目的の倉庫を見つけて、[アクション] 列の [管理] をクリックします。[倉庫] タブで、パブリックエンドポイントパラメータの右側にある [インターネット経由のアクセスを有効にする] をクリックします。「インターネット経由のアクセスを有効にする」メッセージで、[OK] をクリックします。

    エンドポイントの種類

    エンドポイントは次の種類に分けられます。

    • 内部エンドポイント (現在の VPC 内の vSwitch 間のアクセスをサポート)

      • FE の内部エンドポイント形式: fe-{srClusterId}-internal.starrocks.aliyuncs.com:{port}

        説明

        外部クライアントから Server Load Balancer (SLB) インスタンスにアクセスする場合、実際には SLB インスタンスのエンドポイントを使用して FE にアクセスします。これは、SLB が内部でリクエストを分散して、異なる FE 間の負荷分散を実装するためです。

      • BE の内部エンドポイント形式: be-{srClusterId}-internal.starrocks.aliyuncs.com:{port}

    • パブリックエンドポイント

      • FE のパブリックエンドポイント形式: fe-{srClusterId}.starrocks.aliyuncs.com:{port}

      • BE のパブリックエンドポイント形式: be-{srClusterId}.starrocks.aliyuncs.com:{port}

    説明

    • {srClusterId}: StarRocks インスタンスの ID。

    • {port}: サービスポート。FE のクエリポートと HTTP ポートはそれぞれ 9030 と 8030 です。BE の HTTP ポートは 8040 です。

    ネットワークセキュリティ設定の構成

    データセキュリティを確保するために、StarRocks インスタンスでアクセスの制御のためにホワイトリストを構成できます。ネットワークセキュリティ設定には、VPC 経由のアクセスのためのセキュリティグループホワイトリストと、インターネット経由のアクセスの制御のためのホワイトリストが含まれます。

    重要

    外部ユーザーからの攻撃を防ぐために、[承認オブジェクト] パラメータを 0.0.0.0/0 に設定しないことをお勧めします。

    • インターネット経由のアクセスの制御のためのホワイトリストの構成

      1. FE の場合: インスタンスの [インスタンスの詳細] タブの [FE の詳細] セクションで、[パブリックエンドポイント] パラメータの右側にある [インターネット経由のアクセスを有効にする] をクリックします。「インターネット経由のアクセスを有効にする」メッセージで、[OK] をクリックします。BE の場合: [BE の詳細] セクションの [インスタンスの詳細] タブで、[倉庫タブに移動] をクリックします。表示されるページで、目的の倉庫を見つけて、[アクション] 列の [管理] をクリックします。[倉庫] タブで、パブリックエンドポイントパラメータの右側にある [インターネット経由のアクセスを有効にする] をクリックします。「インターネット経由のアクセスを有効にする」メッセージで、[OK] をクリックします。

      2. パブリックエンドポイントの右側にある [パブリック IP アドレスのホワイトリスト] をクリックします。

      3. SLB コンソールの CLB の下の [アクセスの制御] ページで、[エントリの追加] をクリックして、アクセスの制御ルールを追加します。

        詳細については、「アクセスの制御」トピックの「IP エントリの追加」セクションをご参照ください。

    • VPC 経由のアクセスのためのセキュリティグループホワイトリストの構成

      • 2024 年 10 月 24 日以降に作成されたインスタンスの場合:

        1. インスタンスの [インスタンスの詳細] タブで、[基本情報] セクションの [セキュリティグループ ID] パラメータの右側にある [ホワイトリスト] をクリックします。

        2. [ホワイトリストの構成] パネルで、デフォルトのホワイトリストを変更します。または、[ホワイトリストの追加] をクリックします。[ホワイトリストの作成] ダイアログボックスで、名前と IP アドレスまたは CIDR ブロックを指定します。

        3. [OK] をクリックします。

      • 2024 年 10 月 24 日より前に作成されたインスタンスの場合: SLB コンソールの CLB の下の インスタンス ページに移動し、StarRocks インスタンスが依存している CLB インスタンスを見つけて、アクセスの制御設定を構成します。詳細については、「アクセスの制御」をご参照ください。