メインコンテンツまでスキップ

VPC ネットワーク、サブネット、およびファイアウォールルールの作成

GCP 上に CelerData クラスターをデプロイするには、クラスターが依存する仮想マシンインスタンス用のサブネットを指定し、クラスター ノードがクロスノード通信および外部通信のために従う必要があるインバウンドおよびアウトバウンド トラフィック ルールを定義するための特定のファイアウォール ルールを作成する必要があります。

注意

クラスター デプロイメントに使用するサブネットは、クラスターがデプロイされるのと同じリージョンに存在する必要があります。

(オプション) VPC ネットワークを作成する

サブネットは VPC ネットワークの下に作成する必要があります。VPC ネットワークを持っていない場合は、このセクションに従ってください。

VPC ネットワークを作成する手順は次のとおりです。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. CREATE VPC NETWORK をクリックします。 Image

  4. Create a VPC network ページで、次の手順に従います。

    a. 名前 (例: vpc-network-test) を入力し、オプションで VPC ネットワークの説明を入力します。

    b. New subnet ボックスの削除ボタンをクリックして、このプロセスで新しいサブネットを作成する手順をスキップします。VPC ネットワークが作成された後、create a subnet の指示に従って作成できます。

    c. Dynamic routing mode には、Regional を選択します。

  5. Create をクリックします。

サブネットを作成する

前の手順でサブネットを作成しなかった場合は、次の手順に従ってサブネットを作成します。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. VPC ネットワーク ページで、前の手順で作成した VPC ネットワークをクリックします。

  4. VPC network details ページの SUBNETS タブで、ADD SUBNET をクリックします。 Image

  5. Add a subnet タブで、次の手順に従います。

    a. 名前 (例: subnet-test) を入力し、オプションでサブネットの説明を入力します。

    b. Region には、CelerData クラスターをデプロイしたいリージョンを選択します。

    c. IPv4 range フィールドに、少なくとも 255 の利用可能な IP アドレスを持つ CIDR ブロックを指定します。例: 10.0.0.0/24

    d. Private Google Access には、On を選択します。

  6. ADD をクリックします。

ファイアウォールルールを作成する

内部インバウンドおよび内部アウトバウンドのためのファイアウォールルールを作成する必要があります。セキュアな通信のために Private Service Connect を使用したくない場合は、外部通信のためのアウトバウンドファイアウォールを作成する必要があります。また、NLB ヘルスチェック用のファイアウォールルールを作成することをお勧めします。

内部通信のためのインバウンドファイアウォールルールを作成する

次の手順に従います。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. VPC ネットワーク ページで、前の手順で作成した VPC ネットワークをクリックします。

  4. VPC network details ページの FIREWALLS タブで、ADD FIREWALL RULE をクリックします。 Image

  5. Create a firewall rule ページで、次の手順に従います。

    a. 名前 (例: fr-ingress-internal) を入力し、オプションでファイアウォールルールの説明を入力します。

    b. Network には、前の手順で作成した VPC ネットワークを選択します。

    c. Direction of traffic には、Ingress を選択します。

    d. Targets には、Specified target tags を選択します。

    e. Target tags フィールドに、CelerData デプロイメントのために作成されるすべてのファイアウォールルールに対して統一されたタグを指定します。このタグは、VPC ネットワークの下にデプロイされたクラスター内のすべての仮想マシンインスタンスにアタッチされます。

    注意

    このフィールドには、正確に同じタグを指定する必要があります。そうしないと、デプロイメント ワークフローが失敗する可能性があります。

    f. Source filter には、IPv4 ranges を選択します。

    g. Source IPv4 ranges フィールドに、サブネットの IPv4 範囲の CIDR ブロックを指定します。これにより、このサブネット内のすべての VM インスタンス (ターゲットタグ付き) が、このサブネット内のすべてのソースからのトラフィックを受け入れることができます (CIDR で指定)。

    h. Protocol and ports には、Allow all を選択します。

  6. Create をクリックします。

内部通信のためのアウトバウンドファイアウォールルールを作成する

次の手順に従います。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. VPC ネットワーク ページで、前の手順で作成した VPC ネットワークをクリックします。

  4. VPC network details ページの FIREWALLS タブで、ADD FIREWALL RULE をクリックします。

  5. Create a firewall rule ページで、次の手順に従います。

    a. 名前 (例: fr-egress-internal) を入力し、オプションでファイアウォールルールの説明を入力します。

    b. Network には、前の手順で作成した VPC ネットワークを選択します。

    c. Direction of traffic には、Egress を選択します。

    d. Targets には、Specified target tags を選択します。

    e. Target tags フィールドに、CelerData デプロイメントのために作成されるすべてのファイアウォールルールに対して統一されたタグを指定します。このタグは、VPC ネットワークの下にデプロイされたクラスター内のすべての仮想マシンインスタンスにアタッチされます。

    注意

    このフィールドには、正確に同じタグを指定する必要があります。そうしないと、デプロイメント ワークフローが失敗する可能性があります。

    f. Destination filter には、IPv4 ranges を選択します。

    g. Destination IPv4 ranges フィールドに、サブネットの IPv4 範囲の CIDR ブロックを指定します。これにより、このサブネット内のすべての VM インスタンス (ターゲットタグ付き) が、このサブネット内のすべての宛先 VM インスタンスにトラフィックを送信できます (CIDR で指定)。

    h. Protocol and ports には、Allow all を選択します。

  6. Create をクリックします。

公開通信のためのアウトバウンドファイアウォールルールを作成する

セキュアな通信のために Private Service Connect を使用したい場合は、このアウトバウンドファイアウォールルールを作成する必要はありませんが、create a PSC Endpoint を作成する必要があります。それ以外の場合は、CelerData クラスターと CelerData BYOC Cloud サービス間の通信を有効にするために、この外部アウトバウンドファイアウォールルールを作成する必要があります。

次の手順に従います。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. VPC ネットワーク ページで、前の手順で作成した VPC ネットワークをクリックします。

  4. VPC network details ページの FIREWALLS タブで、ADD FIREWALL RULE をクリックします。

  5. Create a firewall rule ページで、次の手順に従います。

    a. 名前 (例: fr-egress-external) を入力し、オプションでファイアウォールルールの説明を入力します。

    b. Network には、前の手順で作成した VPC ネットワークを選択します。

    c. Direction of traffic には、Egress を選択します。

    d. Targets には、Specified target tags を選択します。

    e. Target tags フィールドに、CelerData デプロイメントのために作成されるすべてのファイアウォールルールに対して統一されたタグを指定します。このタグは、VPC ネットワークの下にデプロイされたクラスター内のすべての仮想マシンインスタンスにアタッチされます。

    注意

    このフィールドには、正確に同じタグを指定する必要があります。そうしないと、デプロイメント ワークフローが失敗する可能性があります。

    f. Destination filter には、IPv4 ranges を選択します。

    g. Destination IPv4 ranges フィールドに 0.0.0.0/0 を指定します。これは、CelerData BYOC Cloud サービスへのアウトバウンド トラフィックを許可するためです。

    h. Protocol and ports には、Specified protocols and ports を選択し、TCP を選択し、TCP の下の Ports フィールドに 443 を入力します。

  6. Create をクリックします。

(オプション) 公開通信のためのインバウンドファイアウォールルールを作成する

クライアントアプリケーションを公開ネットワーク上で CelerData クラスターに接続するか、Stream Load を使用してローカルファイルシステムからデータをロードする場合、すべての IP アドレスから TCP 上のポート 9030 および 443 を介して FE ノードへのアクセスを許可するインバウンドファイアウォールルールを作成する必要があります。

次の手順に従います。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. VPC ネットワーク ページで、前の手順で作成した VPC ネットワークをクリックします。

  4. VPC network details ページの FIREWALLS タブで、ADD FIREWALL RULE をクリックします。

  5. Create a firewall rule ページで、次の手順に従います。

    a. 名前 (例: fr-ingress-external) を入力し、オプションでファイアウォールルールの説明を入力します。

    b. Network には、前の手順で作成した VPC ネットワークを選択します。

    c. Direction of traffic には、Ingress を選択します。

    d. Targets には、All instances in the network を選択します。

    e. Source filter には、IPv4 ranges を選択します。

    f. Source IPv4 ranges フィールドには次のように指定します:

    • クラスターを公開ネットワーク上のすべてのアプリケーションに公開したい場合は、0.0.0.0/0 を指定します。
    • クラスターを公開ネットワーク上の特定のアプリケーションに公開したい場合は、アプリケーションの IP アドレスを指定できます。

    g. Protocol and ports には、Specified protocols and ports を選択し、TCP を選択し、TCP の下の Ports フィールドに 443,9030 を入力します。

  6. Create をクリックします。

NLB ヘルスチェックのためのインバウンドファイアウォールルールを作成する

クライアントは、Network Load Balancer (NLB) を介して CelerData クラスターにアクセスし、SQL クエリを送信したり、Stream Load ジョブを送信したりします。NLB は、FE またはコーディネーターノードの状態を監視するためにヘルスチェックを実行します。

ヘルスチェックを成功させるためには、TCP 上のポート 9030 および 443 を介して FE ノードへのアクセスを許可するインバウンドファイアウォールルールを作成する必要があります。詳細については、How health checks work を参照してください。

次の手順に従います。

  1. Google Cloud コンソール にサインインします。

  2. 左側のナビゲーション メニューを展開し、VPC ネットワーク > VPC ネットワーク を選択します。

  3. VPC ネットワーク ページで、前の手順で作成した VPC ネットワークをクリックします。

  4. VPC network details ページの FIREWALLS タブで、ADD FIREWALL RULE をクリックします。

  5. Create a firewall rule ページで、次の手順に従います。

    a. 名前 (例: fr-ingress-nlb) を入力し、オプションでファイアウォールルールの説明を入力します。

    b. Network には、前の手順で作成した VPC ネットワークを選択します。

    c. Direction of traffic には、Ingress を選択します。

    d. Targets には、Specified target tags を選択します。

    e. Target tags フィールドに、CelerData デプロイメントのために作成されるすべてのファイアウォールルールに対して統一されたタグを指定します。このタグは、VPC ネットワークの下にデプロイされたクラスター内のすべての仮想マシンインスタンスにアタッチされます。

    注意

    このフィールドには、正確に同じタグを指定する必要があります。そうしないと、デプロイメント ワークフローが失敗する可能性があります。

    f. Source filter には、IPv4 ranges を選択します。

    g. Source IPv4 ranges フィールドに、次の 4 つの IP アドレスを入力します: 35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22, および 130.211.0.0/22

    h. Protocol and ports には、Specified protocols and ports を選択し、TCP を選択し、TCP の下の Ports フィールドに 443,9030 を入力します。

  6. Create をクリックします。