サービスへのネットワーク・アクセスの制御

Oracle Big Data Cloud Machineは、Linuxのiptablesとwhitelistsという構成ファイルを使用して、クラスタ内のサービスへのネットワーク・トラフィックをフィルタリングするユーティリティを提供します。ホワイトリスト構成は、指定されたクライアントからのネットワーク・リクエストを、指定されたポートで指定されたサービスに対して受け入れるか拒否するかを指定します。接続が確立しようとすると、iptablesはホワイトリスト内の一致するクライアントIPアドレスまたはIPアドレスの範囲を探します。見つからない場合は、デフォルトのアクションが使用されます。

ホワイトリストに追加できるサービス

次の表は、ホワイトリストに追加できるサービス、それらのサービスの構成を保存するファイル、およびデフォルトの動作を示しています。つまり、構成ファイルが空の場合:

サービス	ホワイトリスト構成ファイル	デフォルト(空のファイル)
Cloudera Manager	`/opt/oracle/bda/cloudera_manager_whitelist`	アクセスを拒否
Hue	`/opt/oracle/bda/hue_whitelist`	アクセスを拒否
セキュア・シェル(SSH)	`/opt/oracle/bda/ssh_whitelist`	アクセスを許可

「構成ファイルを直接編集しないでください。」。以下で説明するように、bdacli bdcs_whitelistコマンドを使用します。

bdacli bdcs_whitelistコマンドでホワイトリストを管理

bdacli bdcs_whitelistコマンドを使用して、クラスタのホワイトリスト構成を管理します。

クラスタのプライマリ・ホストでrootユーザーとしてコマンドを実行します。プライマリ・ホストが何であるかを調べるには、任意のノードに接続し、bdacli getinfo cluster_primary_hostと入力します。次に例を示します。

# bdacli getinfo cluster_primary_host
host1891

bdacli bdcs_whitelistの使い方

構文

bdacli bdcs_whitelist parameters

パラメータ

次の表に、bdacli bdcs_whitelistコマンドのパラメータを示します。

パラメータ	説明
`reset_default_config`	ファイルを空にリセットし、デフォルト構成を適用します。すべてのトラフィックを許可するSSH以外のすべての着信トラフィックをサーバーに拒否します。これは、ホワイトリストによって制御されるポートにのみ影響します。他のすべての`iptables`構成には触れません。
`reload_config`	ホワイトリスト・ファイルによって制御されるポート上のすべての`iptables`ルールを削除し、ホワイトリスト・ファイルにあるものを再処理します。ファイルが空の場合、デフォルト構成が適用されます。 1つまたは複数のエントリがある場合、ファイル内のホワイトリスト以外のすべてのトラフィックは拒否されます。
`allow service ip/range`	指定されたサービスのホワイトリストにIPアドレスまたはIPアドレスの範囲を追加し、`iptables`コマンドを実行して、そのIPアドレスからそのサービスにアクセスできるようにします。 `service`および`ip/range`変数の説明については、下記の「変数」表を参照してください。
`deny service ip/range`	特定のサービスのホワイトリストにIPアドレスまたはIPアドレスの範囲を削除し、`iptables`コマンドを実行して、そのIPアドレスからそのサービスへのアクセスを拒否します。 `service`および`ip/range`変数の説明については、下記の「変数」表を参照してください。

変数

次の表に、bdacli bdcs_whitelist allowおよびbdacli bdcs_whitelist denyコマンドの変数を示します。

変数説明

変数	説明
`service`	次のうちの1つ。 `cloudera_manager` `hue` `ssh` `all` - コマンドは上記のすべてのサービスに適用されます。 `all`を使用するのではなく、開く必要があるサービスだけのコマンドを実行することをお勧めします。これは、明示的に変更しない限り、重要なSSH設定を単独で(デフォルトでは開くように)残すため、これが推奨されます。 SSHの設定をデフォルトから変更すると、クラスタから永久にあなたをロックすることができます。
`ip/range`	次のうちの1つ。アドレスを指定するだけで、単一のIPアドレスを指定することができます。: `192.0.2.48` 次のいずれかを使用して、IPアドレスの範囲を指定します: `192.0.2.0/24` `192.0.2.0/255.255.255.0` 上記の両方の範囲は、`192.0.2.0`から`192.0.2.255`までを意味

service

次のうちの1つ。

cloudera_manager
hue
ssh
all - コマンドは上記のすべてのサービスに適用されます。 allを使用するのではなく、開く必要があるサービスだけのコマンドを実行することをお勧めします。これは、明示的に変更しない限り、重要なSSH設定を単独で(デフォルトでは開くように)残すため、これが推奨されます。 SSHの設定をデフォルトから変更すると、クラスタから永久にあなたをロックすることができます。

ip/range

次のうちの1つ。

アドレスを指定するだけで、単一のIPアドレスを指定することができます。: 192.0.2.48
次のいずれかを使用して、IPアドレスの範囲を指定します:

192.0.2.0/24

192.0.2.0/255.255.255.0

上記の両方の範囲は、192.0.2.0から192.0.2.255までを意味

例

# bdacli bdcs_whitelist allow cloudera_manager 198.51.100.48
BDCS Network Services Firewall & Whitelist
host1891.us.example.com
host1892.us.example.com
host1893.us.example.com
host1894.us.example.com
host1895.us.example.com

このサンプルで注目すべき点は以下のとおりです。

bdacli bdcs_whitelist allow cloudera_managerは、Cloudera Managerが指定されたクライアントIPアドレスからのリクエストを受け入れることを指定します。
198.51.100.48 は、そのIPアドレスを持つクライアントにサービスへのアクセスを許可することを指定します。
host1891.us.example.com〜host1895.us.example.comは、クラスタのノードのホスト名です。

構成の確認

構成を変更したら、期待どおりになっているかどうかを確認する必要があります。これには、次の2つの方法があります。

サービスのホワイトリスト構成ファイルを確認します。たとえば、次のようになります:

# more /opt/oracle/bda/cloudera_manager_whitelist
198.51.100.48
# more /opt/oracle/bda/hue_whitelist
198.51.100.48

ホワイトリスト・ルールを含む、ネットワーク・ファイアウォール・ルールを有効にするには、iptables -Lコマンドを使用します。このコマンドは、rootユーザーとして実行する必要があります。