Ambari サーバーと 2 つのノードを持つ Hadoop クラスターを生成する設計図があるとします。
次のプロジェクトを使用しています --> https://github.com/brooklyncentral/brooklyn-ambari
この場合、3 つのエンティティ (1 つの Ambari サーバー + 2 つの Hadoop ノード) が作成され、その結果、3 つのセキュリティ グループが生成されます。すべてのエンティティには、独自のセキュリティ グループがあります。
ベスト プラクティスは何でしょうか: 上記 (エンティティごとに 1 つのセキュリティ グループ) またはすべてのエンティティに対して 1 つのセキュリティ グループのみ (可能な場合)?
オプションには次のものがあります。
Brooklyn で VM ごとにセキュリティ グループを自動生成します。これがデフォルトですが、他の Ambari VM に対してだけではなくパブリックにポートを開くため、最も安全ではありません。
すべての Ambari VM に対して既存のセキュリティ グループを使用します。で場所を設定できますsecurityGroups: nameOfMySecurityGroup。このセキュリティ グループは変更されずに使用されるため、Ambari VM 間のアクセスを提供するために使用できます。
すべての Ambari VM で共有される新しいセキュリティ グループを作成するように Brooklyn を構成します。これには、セキュリティ グループを作成し、VM の作成に使用される構成に追加する「場所カスタマイザー」を使用する必要があります。https://github.com/apache/incubator-brooklyn/blob/0.7.0-incubating/locations/jclouds/src/main/java/brooklyn/location/jclouds/networking/JcloudsLocationSecurityGroupCustomizer.javaを使用または構築できます。Brooklyn は、すぐに使用できるように簡単にすることでメリットを得ることができます。
ベスト プラクティスは、セキュリティ要件によって異なります。オプション (3) は、ニーズに基づいて安全に構成するための最大限の柔軟性を提供するため、間違いなくベスト プラクティスです。オプション (2) は、展開の頻度が低い場合は簡単ですが、事前にセキュリティ グループを手動で作成する必要がある場合は面倒です。オプション (1) は最も単純ですが、絶対に必要な数よりも多くのポートを公開するため、本番環境での使用はお勧めできません。