Amazon VPC オプション - Amazon EMR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC オプション

VPC 内で Amazon EMR クラスターを起動するときは、パブリックサブネット、プライベートサブネット、または共有サブネット内で起動できます。クラスターに選択するサブネットタイプに応じて、構成に多少の顕著な相違があります。

パブリックサブネット

パブリックサブネットの EMR クラスターでは、接続されているインターネットゲートウェイが必要です。これは Amazon EMR クラスターはアクセスする必要があるためですAWSサービスとAmazon EMR。Amazon S3 などのサービスが、VPC エンドポイントを作成する機能を提供している場合、インターネットゲートウェイを介してパブリックエンドポイントにアクセスする代わりに、エンドポイントを使用してこれらのサービスにアクセスできます。また、Amazon EMR はネットワークアドレス変換 (NAT) デバイスを通じてパブリックサブネットのクラスターと通信することはできません。この目的にはインターネットゲートウェイが必要ですが、より複雑なシナリオでは、他のトラフィックに対して NAT インスタンスまたはゲートウェイを引き続き使用できます。

クラスター内のインスタンスはいずれも、VPC エンドポイントまたはインターネットゲートウェイを通じて Amazon S3 に接続します。その他AWS現在 VPC エンドポイントをサポートしていないサービスは、インターネットゲートウェイのみを使用します。

追加お持ちの場合AWSインターネットゲートウェイに接続したくないリソースは、VPC 内に作成したプライベートサブネットでそれらのコンポーネントを起動できます。

パブリックサブネットで実行中のクラスターは 2 つのセキュリティグループを使用します。1 つはマスターノード用、もう 1 つはコアノードとタスクノード用です。詳細については、「」を参照してくださいセキュリティグループによるネットワークトラフィックの制御

次の図は、パブリックサブネットを使用して Amazon EMR クラスターが VPC でどのように実行されるかを示しています。クラスターは、他のクラスターに接続できるAWSAmazon S3 バケットなどのリソース(インターネットゲートウェイを使用)。


						VPC 上のクラスター

次の図は、VPC のクラスターが Oracle データベースなど、ご自身のネットワーク上のリソースにアクセスできるように VPC をセットアップする方法を示します。


						ローカル VPN 上のリソースにアクセスできるように VPC とクラスターを設定する

プライベートサブネット

プライベートサブネットを使用すると、起動できます。AWSサブネットにインターネットゲートウェイがアタッチされていないリソース。たとえば、バックエンドでこれらのプライベートリソースを使用するアプリケーションで有用な場合があります。次に、これらのリソースは、インターネットゲートウェイがアタッチされた別のサブネットにある NAT インスタンスを使用して、アウトバウンドトラフィックを開始できます。このシナリオの詳細については、「」を参照してください。シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT)

重要

Amazon EMR は、リリース 4.2 以降のみプライベートサブネットでのクラスターの起動をサポートします。

パブリックサブネットとの違いを次に示します。

  • にアクセスするにはAWSVPC エンドポイントを提供しないサービスでも、NAT インスタンスまたはインターネットゲートウェイを引き続き使用する必要があります。

  • 少なくとも、Amazon S3 内の Amazon EMR サービスログバケットおよび Amazon Linux リポジトリへのルートを提供する必要があります。詳細については、「」を参照してください。プライベートサブネットの Amazon S3 の最小ポリシー

  • EMRFS 機能を使用する場合、Amazon S3 VPC エンドポイントとプライベートサブネットから DynamoDB へのルートが必要です。

  • デバッグが機能するのは、プライベートサブネットからパブリック Amazon SQS エンドポイントへのルートを提供する場合のみです。

  • パブリックサブネットで NAT インスタンスまたはゲートウェイを使用したプライベートサブネット設定の作成がサポートされるのは、AWS Management Consoleを使用する場合のみです。Amazon EMR クラスターの NAT インスタンスと Amazon S3 VPC エンドポイントを追加および設定する最も簡単な方法は、VPC サブネットリストAmazon EMR コンソールでページを開きます。NAT ゲートウェイを設定するには、「」を参照してください。NAT ゲートウェイAmazon VPC User Guide

  • 既存の Amazon EMR クラスターがあるサブネットを、パブリックからプライベートに、またはその逆に変更することはできません。プライベートサブネット内で Amazon EMR クラスターを見つけるため、クラスターはそのプライベートサブネットで起動する必要があります。

Amazon EMR は、プライベートサブネットでクラスターの異なるデフォルトセキュリティグループを作成および使用します。ElasticMapReduce-Master-Private、ElasticMapReduce-Master-Private、および ElasticMapReduce-ServiceAccess。詳細については、「」を参照してくださいセキュリティグループによるネットワークトラフィックの制御

クラスタの NACL の完全なリストについては、Master のセキュリティグループおよびコアとタスクのセキュリティグループAmazon EMR コンソールでクラスターの詳細ページで.

次の図は、プライベートサブネット内で Amazon EMR クラスターが設定される方法を示しています。サブネット外の唯一の通信は Amazon EMR に対するものです。


						プライベートサブネットで Amazon EMR クラスターを起動する

次の図は、パブリックサブネットにある NAT インスタンスに接続されているプライベートサブネット内の Amazon EMR クラスターの設定例を示しています。


						NAT を持つプライベートサブネット

共有サブネット

VPC 共有により、顧客はサブネットを他のユーザーと共有できるようになります。AWS同じアカウント内のアカウントAWS組織. 以下の注意点に注意しながら、Amazon EMR クラスターをパブリック共有サブネットとプライベート共有サブネットの両方で起動することができます。

Amazon EMR クラスターをサブネットで起動するには、サブネットの所有者とサブネットを共有している必要があります。ただし、共有サブネットは後で共有解除することができます。詳細については、「共有 VPC の使用」を参照してください。クラスターを共有サブネットで起動した場合、共有サブネットが共有解除されると、サブネットの共有解除時に Amazon EMR クラスターの状態に基づいて特定の動作を観察できます。

  • クラスターが正常に起動する前にサブネットが共有解除された場合 - 参加者がクラスターを起動しようとしている最中に、所有者が Amazon VPC またはサブネットの共有を停止した場合は、クラスターの起動に失敗するか、リクエストされたすべてのインスタンスがプロビジョニングされないままに、クラスターが部分的に初期化されることがあります。

  • クラスターが正常に起動した後にサブネットが共有解除された場合 - 所有者が参加者とのサブネットまたは Amazon VPC の共有を停止した場合、参加者のクラスターは、新しいインスタンスの追加や、異常なインスタンスを交換するためにサイズ変更できなくなります。

Amazon EMR クラスターを起動すると、複数のセキュリティグループが作成されます。共有サブネットでは、サブネットの参加者がこれらのセキュリティグループを制御します。サブネットの所有者は、これらのセキュリティグループを表示できますが、これらのグループに対してアクションを実行することはできません。サブネットの所有者がセキュリティグループの削除または変更を希望する場合は、セキュリティグループを作成した参加者がそのアクションを実行する必要があります。

IAM で VPC のアクセス許可を制御する

デフォルトでは、すべての IAM ユーザーはそのアカウントのすべてのサブネットを表示でき、どのサブネットでもクラスターを起動できます。

VPC 内でクラスターを起動するときに、AWS Identity and Access Management(IAM) は、クラスターへのアクセスを制御し、クラスターを Amazon EC2 Classic で起動した場合と同様に、ポリシーを使用してアクションを制限します。IAM の詳細については、「」を参照してください。IAM ユーザーガイド

IAM を使用することにより、サブネットを作成および管理できるユーザーを制御することもできます。たとえば、サブネットを管理するためのユーザーアカウントを 1 つ作成し、もう 1 つ、クラスターを起動することはできても Amazon VPC 設定を変更できないユーザーアカウントを作成できます。Amazon EC2 および Amazon VPC でのポリシーとアクションの管理の詳細については、「」を参照してください。Amazon EC2 の IAM ポリシーLinux インスタンス用 Amazon EC2 ユーザーガイド