Oracle Big Data Cloud Machineは、Linuxのiptables
とwhitelistsという構成ファイルを使用して、クラスタ内のサービスへのネットワーク・トラフィックをフィルタリングするユーティリティを提供します。 ホワイトリスト構成は、指定されたクライアントからのネットワーク・リクエストを、指定されたポートで指定されたサービスに対して受け入れるか拒否するかを指定します。 接続が確立しようとすると、iptables
はホワイトリスト内の一致するクライアントIPアドレスまたはIPアドレスの範囲を探します。 見つからない場合は、デフォルトのアクションが使用されます。
ホワイトリストに追加できるサービス
次の表は、ホワイトリストに追加できるサービス、それらのサービスの構成を保存するファイル、およびデフォルトの動作を示しています。つまり、構成ファイルが空の場合:
サービス | ホワイトリスト構成ファイル | デフォルト(空のファイル) |
---|---|---|
Cloudera Manager |
|
アクセスを拒否 |
Hue |
|
アクセスを拒否 |
セキュア・シェル(SSH) |
|
アクセスを許可 |
「構成ファイルを直接編集しないでください。」。 以下で説明するように、bdacli bdcs_whitelist
コマンドを使用します。
bdacli bdcs_whitelistコマンドでホワイトリストを管理
bdacli bdcs_whitelist
コマンドを使用して、クラスタのホワイトリスト構成を管理します。
クラスタのプライマリ・ホストでroot
ユーザーとしてコマンドを実行します。 プライマリ・ホストが何であるかを調べるには、任意のノードに接続し、bdacli getinfo cluster_primary_host
と入力します。 次に例を示します。
# bdacli getinfo cluster_primary_host
host1891
bdacli bdcs_whitelistの使い方
構文
bdacli bdcs_whitelist parameters
パラメータ
次の表に、bdacli bdcs_whitelist
コマンドのパラメータを示します。
パラメータ | 説明 |
---|---|
reset_default_config |
ファイルを空にリセットし、デフォルト構成を適用します。 すべてのトラフィックを許可するSSH以外のすべての着信トラフィックをサーバーに拒否します。 これは、ホワイトリストによって制御されるポートにのみ影響します。 他のすべてのiptables 構成には触れません。 |
reload_config |
ホワイトリスト・ファイルによって制御されるポート上のすべてのiptables ルールを削除し、ホワイトリスト・ファイルにあるものを再処理します。 ファイルが空の場合、デフォルト構成が適用されます。 1つまたは複数のエントリがある場合、ファイル内のホワイトリスト以外のすべてのトラフィックは拒否されます。 |
allow service ip/range |
指定されたサービスのホワイトリストにIPアドレスまたはIPアドレスの範囲を追加し、 |
deny service ip/range |
特定のサービスのホワイトリストにIPアドレスまたはIPアドレスの範囲を削除し、 |
変数
次の表に、bdacli bdcs_whitelist allow
およびbdacli bdcs_whitelist deny
コマンドの変数を示します。
変数 | 説明 |
---|---|
service |
次のうちの1つ。
|
ip/range |
次のうちの1つ。
|
例
# bdacli bdcs_whitelist allow cloudera_manager 198.51.100.48
BDCS Network Services Firewall & Whitelist
host1891.us.example.com
host1892.us.example.com
host1893.us.example.com
host1894.us.example.com
host1895.us.example.com
このサンプルで注目すべき点は以下のとおりです。
bdacli bdcs_whitelist allow cloudera_manager
は、Cloudera Managerが指定されたクライアントIPアドレスからのリクエストを受け入れることを指定します。
198.51.100.48
は、そのIPアドレスを持つクライアントにサービスへのアクセスを許可することを指定します。
host1891.us.example.com
〜host1895.us.example.com
は、クラスタのノードのホスト名です。
構成の確認
構成を変更したら、期待どおりになっているかどうかを確認する必要があります。 これには、次の2つの方法があります。
サービスのホワイトリスト構成ファイルを確認します。たとえば、次のようになります:
# more /opt/oracle/bda/cloudera_manager_whitelist 198.51.100.48 # more /opt/oracle/bda/hue_whitelist 198.51.100.48
ホワイトリスト・ルールを含む、ネットワーク・ファイアウォール・ルールを有効にするには、iptables -L
コマンドを使用します。 このコマンドは、root
ユーザーとして実行する必要があります。