必要なVCNセキュリティ・ルール

ファイル・ストレージをLustreファイル・システムで作成およびマウントする前に、特定のプロトコルおよびポートを使用してファイル・システムへのトラフィックを許可するセキュリティ・ルールを構成する必要があります。Lustreファイル・システムには、ホスト間の接続とクライアントとの接続が必要です。

Lustreは、LNetプロトコルおよびネットワーク・ドライバを使用して、様々なタイプのネットワークを介して通信します。デフォルトでは、File Storage with Lustreは、TCPポート988を使用して接続を作成するドライバを使用します。

OSファイアウォール

Oracle LinuxまたはUbuntuにインストールされたLustreクライアントは、これらのオペレーティング・システムのローカル・ファイアウォールに従います。次のVCNセキュリティ・ルールに加えて、OSファイアウォールがTCPポート988のトラフィックをブロックしないようにしてください。Lustreクライアントは、トークとリスニングの両方にポートを使用するため、ポートは双方向通信用に開いている必要があります。

接続をテストするために、ローカル・ファイアウォールを一時的に停止し、そのルールをフラッシュしてLustreクライアントとの干渉を回避できます。常にセキュリティのベストプラクティスに従ってください。ご質問がある場合は、サポートにお問い合せください

オプション1: 異なるサブネットのクライアントとLustre

このシナリオでは、ファイル・システムはクライアントとは異なるサブネットにあります。セキュリティ・ルールは、それぞれのサブネットのセキュリティ・リスト内のファイル・システムとクライアントの両方、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。

Lustreファイル・システムに対して次のセキュリティ・ルールを設定します。

  • クライアントおよびLustreサブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
  • ソース・ポート512-1023からLustreおよびクライアント・サブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。

次に、クライアントに対して次のセキュリティ・ルールを設定します:

  • LustreサブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
  • ソース・ポート512-1023からLustreサブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。

オプション2: 同じサブネットのクライアントとLustre

このシナリオでは、ファイル・システムはクライアントと同じサブネットにあります。セキュリティ・ルールは、サブネットごとのセキュリティ・リスト内、または各リソースのネットワーク・セキュリティ・グループ(NSG)で構成する必要があります。

  • サブネットCIDRソース・ポート512-1023から宛先ポート988、TCPプロトコルへのステートフル・イングレス。
  • ソース・ポート512-1023からサブネットCIDRポート988、TCPプロトコルへのステートフル・エグレス。

VCNセキュリティ・ルールを有効にする方法

ネットワーキング・サービスには、パケット・レベルでトラフィックを制御するためにセキュリティ・ルールを使用する2つの仮想ファイアウォール機能があります。2つの機能は:

  • ネットワーク・セキュリティ・グループ(NSG) (推奨):異なるセキュリティ体格を持つアプリケーション・コンポーネント用に設計された機能。必須ルールを含むNSGを作成してから、ファイル・システムをNSGに追加します。また、必須ルールを既存のNSJに追加し、ファイル・システムをNSGに追加することもできます。各ファイル・システムは、最大5つのNSGに属することができます。
  • セキュリティ・リスト:ネットワーキング・サービスによる元の仮想ファイアウォール機能。VCNを作成すると、デフォルトのセキュリティ・リストも作成されます。ファイル・システムを含むサブネットのセキュリティ・リストに必須ルールを追加します。
重要

NSGは単独、セキュリティ・リストのみ、またはその両方で使用できます。これは、特定のセキュリティ・ニーズに依存します。セキュリティ・リストとネットワーク・セキュリティ・グループの両方を使用する場合、特定のVNICに適用されるルールのセットは、次の項目の組合せです:

  • VNICのサブネットに関連付けられているセキュリティ・リスト内のセキュリティ・ルール
  • VNICが存在しているすべてのNSGのセキュリティ・ルール

ファイル・ストレージとLustreのファイル・ストレージに必要なプロトコールのポートが、適用されているルール内で正しく構成されている場合、ファイル・システムのVNICにセキュリティ・ルールを適用するために使用する方法は問題ではありません。

これらの機能がネットワークでどのように相互作用するかの詳細、例およびシナリオは、セキュリティ・ルールセキュリティ・リストおよびネットワーク・セキュリティ・グループを参照してください。ネットワーキングの概要には、ネットワーキングに関する一般的な情報が記載されます。