Realtime Compute for Apache Flink は、Apache Flink API と完全に互換性があり、アクセス制御、ネットワーク、ストレージ、バックアップと復元などの側面、および ActionTrail などのサービスを通じて、データセキュリティを確保するための包括的なセキュリティ強化機能を提供します。
テナントの隔離
Realtime Compute for Apache Flink は、マルチテナントシナリオをサポートしています。Alibaba Cloud アカウント認証システムは、AccessKey ペアに基づく対称暗号化を使用して、ユーザーからの各 HTTP リクエストに対して署名認証を実行します。異なるユーザーのデータは分離され、分散ファイルシステムに個別に保存されます。これは、マルチユーザーコラボレーション、データ共有、データの機密性、およびデータセキュリティの要件を満たし、真のマルチテナントリソース分離を実現します。
アクセス制御
データセキュリティを確保するために、多次元のアクセス制御方法が提供されています。
RAM
Alibaba Cloud は Resource Access Management (RAM) を提供しているため、Realtime Compute for Apache Flink リソースに対するさまざまな RAM ユーザーの操作権限を管理できます。また、RAM を使用して、リソースディレクトリのメンバーとして(CloudSSO ユーザーを含む)Realtime Compute for Apache Flink コンソールにログインすることもできます。詳細については、「RAM とは」および「サポートされているログイン方法」をご参照ください。
名前空間の権限管理
Realtime Compute for Apache Flink では、名前空間の権限を柔軟かつ安全に管理できます。複数のユーザーが同じ名前空間でデプロイメント開発と O&M を実行する場合、ビジネス要件に基づいてロールを定義し、きめ細かい権限を構成できます。詳細については、「名前空間の権限を付与する」をご参照ください。
ホワイトリスト
デフォルトでは、Realtime Compute for Apache Flink のアップストリームおよびダウンストリームストレージデバイスは、外部デバイスからのアクセスを拒否します。したがって、Realtime Compute for Apache Flink の vSwitch の CIDR ブロックを、関連付けられたストレージシステムのホワイトリストに追加する必要があります。vSwitch がアップストリームおよびダウンストリームストレージシステムと同じゾーンにない場合は、vSwitch の CIDR ブロックをホワイトリストに追加した後にネットワーク接続が確立されます。詳細については、「ネットワーク接続に関するよくある質問」をご参照ください。
Kerberos 認証をサポートする Hive クラスタへのアクセス
Kerberos は、通信のセキュリティを確保するために身元認証に使用されるコンピューターネットワーク認証プロトコルです。デプロイメントがアクセスする必要がある Hive クラスタが Kerberos 認証をサポートしている場合は、Realtime Compute for Apache Flink コンソールで Kerberos で保護された Hive クラスタを登録し、デプロイメントで Hive クラスタを構成する必要があります。詳細については、「Kerberos 認証をサポートする Hive クラスタを登録する」をご参照ください。
ネットワークの隔離
Realtime Compute for Apache Flink は、仮想プライベートクラウド (VPC) またはインターネット経由でアップストリームおよびダウンストリームストレージサービスにアクセスできます。セキュリティを確保するために、VPC を使用することをお勧めします。Realtime Compute for Apache Flink コンソールで、アップストリームおよびダウンストリームストレージサービスのドメイン名を管理することもできます。
VPC
VPC は、物理層プロトコル上のネットワーク層で他のネットワークから隔離されたプライベートネットワークです。VPC は、高いセキュリティ、信頼性、柔軟性、スケーラビリティ、および使いやすさを提供します。詳細については、「VPC とは」をご参照ください。
インターネット
Alibaba Cloud のネットワークアドレス変換 (NAT) ゲートウェイを使用して、VPC とインターネット間の接続をセットアップできます。このようにして、Realtime Compute for Apache Flink はインターネット経由でアップストリームおよびダウンストリームサービスにアクセスできます。ただし、このアクセス方法の使用はお勧めしません。詳細については、「ネットワーク接続に関するよくある質問」をご参照ください。
ドメイン名管理
Realtime Compute for Apache Flink コンソールで、アップストリームおよびダウンストリームサービスのドメイン名を管理できます。
暗号化
変数管理
SQL ドラフト開発、JAR または Python デプロイメント、ログエクスポート構成、UI ベースのパラメーター設定など、さまざまなシナリオで変数を使用できます。この方法は、プレーンテキストの AccessKey ペアまたは資格情報に関連するセキュリティリスクを防ぐのに役立ちます。さらに、変数を使用すると再利用が容易になり、コード開発または変数構成の冗長性が軽減されます。詳細については、「変数を管理する」をご参照ください。
バックアップと復元
データを永続化および復元するために、複数のバックアップ方法が提供されています。
データバックアップ
Realtime Compute for Apache Flink は、ストレージとコンピューティングの分離アーキテクチャを採用しています。Object Storage Service (OSS) を使用して、チェックポイント、セーブポイント、ログ、JAR パッケージなどのデータを保存します。Realtime Compute for Apache Flink は、関連付けられた OSS バケットに異なるディレクトリを作成します。デフォルトの保存期間は 7 日間です。詳細については、「Realtime Compute for Apache Flink をアクティブ化する」をご参照ください。
データ復旧
手動でセーブポイントを作成する: デプロイメントの実行中やキャンセル時など、特定の時点のデプロイメントのセーブポイントを手動で作成し、そのセーブポイントからデプロイメントを復元できます。この機能は、データ復旧、迅速なビジネスデプロイメント、データ検証などのシナリオで役立ちます。
スケジュールされたセーブポイント作成を構成する: デプロイメントセーブポイント作成サイクルを指定して、スケジュールされたセーブポイントを自動的に作成できます。ルールを保存すると、システムはデプロイメントの実行中に自動的にセーブポイントを作成します。
特定のセーブポイントからデプロイメントを再開する: 別のデプロイメントの指定されたセーブポイントからデプロイメントを復元する場合は、これを行うためのセーブポイントを指定します。
説明デプロイメント間でセーブポイントを共有する場合は、デュアルランテストなどの方法で、デプロイメント間の状態データに互換性があることを確認してください。
デプロイメントステータスバックアップ
次の手順を実行して、デプロイメントのステータスセットを表示できます。Realtime Compute for Apache Flink コンソールの [デプロイメント] ページで、デプロイメントの名前をクリックします。デプロイメントの詳細ページで、[ステータス] タブをクリックします。詳細については、「状態生成の概要を表示する」をご参照ください。
クロスゾーン高可用性
クロスゾーン高可用性機能は、リージョン内のゾーン間のディザスタリカバリを容易にします。クロスゾーン計算ユニット (CU) で構成された名前空間では、この機能により、プライマリゾーンで障害が発生した場合にセカンダリゾーンへのシームレスフェールオーバーが可能になります。これにより、シングルゾーン障害によるサービス中断を防ぎ、デプロイメントの継続性と高可用性を確保します。詳細については、「クロスゾーン高可用性」をご参照ください。
ActionTrail
ActionTrail は、Alibaba Cloud アカウントの操作を監視および記録するサービスです。操作には、Alibaba Cloud 管理コンソール、API、および SDK を使用したクラウドサービスへのアクセスと使用が含まれます。ActionTrail は、これらの操作をイベントとして記録します。これらのイベントをダウンロードして、Simple Log Service Logstore または OSS バケットに配信できます。次に、イベントに基づいて、動作分析、セキュリティ分析、リソース変更追跡、コンプライアンス監査を実行できます。ActionTrail の詳細については、「ActionTrail とは」をご参照ください。
Realtime Compute for Apache Flink は ActionTrail に接続されています。ActionTrail コンソールで、リソース操作イベントと関連情報を無料で表示できます。詳細については、「Realtime Compute for Apache Flink の監査イベントを表示する」をご参照ください。