DataStax Enterpriseポートのセキュリティ保護
不要なポートをすべてロックダウンして、ノード間通信とクライアント通信を許可するIPセキュリティ規則を作成します。
どのようなネットワーク・セキュリティでも、まず始めにインターネットにさらされているインターフェイスに厳格で適切なファイアウォール規則を設定して、最小限のトラフィックしか内部ネットワークに出入りできないようにします。ファイアウォール・セキュリティは、インフラストラクチャをパブリック・クラウドで実行する場合に特に重要です。クラスターをどこでホストするかにかかわらず、DataStaxでは、クラスター内のすべてのノードにファイアウォールを使用することを強く推奨しています。
SSH以外のすべてのトラフィックをブロックする、制限的な構成から開始します。次に、以下のポートを開いてノード間の通信を許可します。これらのポートを開かずにDataStax Enterprise(DSE)をノードで起動すると、ノードはクラスターに参加せず、スタンドアローンのデータベース・サーバーとして機能します。
手順
| Port | サービス | 構成可能ファイル |
|---|---|---|
| パブリック側のポート | ||
| 22 | SSH(デフォルト) | sshdに関するOSドキュメントを参照してください。 |
| DataStax Enterpriseパブリック・ポート | ||
| 4040 | SparkアプリケーションのWebサイトのポート | |
| 5598 | DSE File System(DSEFS)クライアントのパブリック・ポート。 | dse.yaml。 |
| 7080 | Spark MasterのWebサイトのポート | spark-env.sh |
| 7081 | Spark WorkerのWebサイトのポート | spark-env.sh |
| 8182 | DSE GraphのGremlin Serverのポート。 | 「DSE Graph構成」を参照してください。 |
| 8983 | DSE Search(Solr)ポートとDemoアプリケーションのWebサイトのポート(Portfolio、Search、Searchログ、Weather Sensors) | |
| 8090 | Spark JobserverのREST APIポート。 | 「Spark Jobserver」を参照してください。 |
| 9091 | DataStax Studioサーバー・ポート。 | DataStax Studioのドキュメントを参照してください。構成はdse_studio_install_dir/configuration.yamlで行います。 |
| 9142 | SSLが有効になっているDSEクライアント・ポート。 | 「クライアントとクラスター間の接続のセキュリティ保護」を参照してください。 |
| 9999 | Spark Jobserver JMXポート。Spark Jobserverが実行されていて、JMXへのリモート・アクセスが必要な場合にのみ必須です。 | |
| 18080 | Sparkアプリケーション履歴サーバーのWebサイトのポート。Sparkアプリケーション履歴サーバーが実行されている場合にのみ必須です。spark.history.ui.port設定を使用して変更できます。 | 「Spark履歴サーバー」を参照してください。 |
| OpsCenterパブリック・ポート | ||
| 8888 | OpsCenterのWebサイトのポート。opscenterdデーモンは、ブラウザーから直接送られるHTTP要求をこのポートでリッスンします。「OpsCenterポート・リファレンス」を参照してください。 | opscenterd.conf |
| ノード間ポート | ||
| DSEデータベース・ノード間通信ポート | ||
| 5599 | DSEFSノード間通信ポートのプライベート・ポート。クラスターの外部からはアクセスできません。 | dse.yaml |
| 7000 | DSEノード間クラスター通信ポート。 | cassandra.yaml |
| 7001 | DSE SSLノード間クラスター通信ポート。 | cassandra.yaml |
| 7199 | DSE JMXメトリクス監視ポート。ローカル・ノードからの接続のみ許可することが推奨されます。他のノードからの接続を許可する場合は、SSLおよびJMX認証を構成します。 | cassandra-env.sh 「Javaリソースの調整」のJMXオプションを参照してください。 |
| 1024 - 65355 | JMX再接続/ループバック・ポート。ポート7199の説明を参照してください。 |
「Javaリソースの調整」のJMXオプションを参照してください。 |
| 9160 | DSEクライアント・ポート(Thrift)のポート。OpsCenterエージェントが、このポートでローカル・ノードへのThrift要求を行います。さらに、ポートをopscenterdデーモンで使用すると、クラスター内の各ノードにThrift要求を行うことができます。 | cassandra.yaml |
| DataStax Enterpriseノード間ポート | ||
| 7077 | Spark Masterノード間通信ポート | dse.yaml |
| 8609 | ノード間メッセージング・サービスのポート。 | dse.yaml |
| 8984 | 5.0より前のリリースと、5.0へのアップグレード時に使用されるDSE Searchノード間通信ポート。DataStax Enterprise 5.0以降で廃止予定。 | dse.yaml |
| 9042 | DSEデータベース・ネイティブ・クライアント・ポート。 | cassandra.yaml |
| 10000 | Spark SQL Thriftサーバー・ポート。Spark SQL Thriftサーバーが実行されている場合にのみ必須です。 | Spark SQL Thriftサーバーで-pオプションを使用して設定します。 |
|
パッケージ・インストールInstaller-Servicesインストール |
/etc/dse/spark/hive-site.xml |
|
tarボール・インストールInstaller-No Servicesインストール |
installation_location/resources/spark/conf/hive-site.xml |
|
パッケージ・インストールInstaller-Servicesインストール |
/etc/dse/spark/spark-env.sh |
|
tarボール・インストールInstaller-No Servicesインストール |
installation_location/resources/spark/conf/spark-env.sh |
|
パッケージ・インストールInstaller-Servicesインストール |
/etc/dse/cassandra/cassandra.yaml |
|
tarボール・インストールInstaller-No Servicesインストール |
installation_location/resources/cassandra/conf/cassandra.yaml |
|
パッケージ・インストールInstaller-Servicesインストール |
/etc/dse/dse.yaml |
|
tarボール・インストールInstaller-No Servicesインストール |
installation_location/resources/dse/conf/dse.yaml |
|
パッケージ・インストールInstaller-Servicesインストール |
/etc/dse/cassandra/cassandra-env.sh |
|
tarボール・インストールInstaller-No Servicesインストール |
installation_location/resources/cassandra/conf/cassandra-env.sh |