必要なVCNセキュリティ・ルール

OSファイアウォール

Oracle LinuxまたはUbuntuにインストールされたLustreクライアントは、これらのオペレーティング・システムのローカル・ファイアウォールに従います。次のVCNセキュリティ・ルールに加えて、OSファイアウォールがTCPポート988のトラフィックをブロックしないようにしてください。Lustreクライアントは、トークとリスニングの両方にポートを使用するため、ポートは双方向通信用に開いている必要があります。

接続をテストするために、ローカル・ファイアウォールを一時的に停止し、そのルールをフラッシュしてLustreクライアントとの干渉を回避できます。常にセキュリティのベストプラクティスに従ってください。ご質問がある場合は、サポートにお問い合せください。

オプション1: 異なるサブネットのクライアントとLustre

このシナリオでは、ファイル・システムはクライアントとは異なるサブネットにあります。セキュリティ・ルールは、それぞれのサブネットのセキュリティ・リスト内のファイル・システムとクライアントの両方、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。

Lustreファイル・システムに対して次のセキュリティ・ルールを設定します。

• クライアントおよびLustreサブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
• ソース・ポート512-1023からLustreおよびクライアント・サブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。

次に、クライアントに対して次のセキュリティ・ルールを設定します:

• LustreサブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
• ソース・ポート512-1023からLustreサブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。

オプション2: 同じサブネットのクライアントとLustre

このシナリオでは、ファイル・システムはクライアントと同じサブネットにあります。セキュリティ・ルールは、サブネットごとのセキュリティ・リスト内、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。

• サブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
• ソース・ポート512-1023からサブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。