のセキュリティグループ AWS PCS

Amazon のセキュリティグループは、インスタンスへのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールEC2として機能します。コンピューティングノードグループの起動テンプレートを使用して、 AWS PCSインスタンスにセキュリティグループを追加または削除します。起動テンプレートにネットワークインターフェイスが含まれていない場合は、 SecurityGroupIdsを使用してセキュリティグループのリストを指定します。起動テンプレートでネットワークインターフェイスを定義する場合は、 Groupsパラメータを使用して各ネットワークインターフェイスにセキュリティグループを割り当てる必要があります。起動テンプレートの詳細については、「での Amazon EC2起動テンプレートの使用 AWS PCS」を参照してください。

注記

起動テンプレートのセキュリティグループ設定の変更は、コンピューティングノードグループの更新後に起動された新しいインスタンスにのみ影響します。

セキュリティグループの要件と考慮事項

AWS PCS は、クラスターの作成時に指定したサブネットにクロスアカウント Elastic Network Interface (ENI） を作成します。これにより、 によって管理されるアカウントで実行されているHPCスケジューラが提供されます。これは AWS、 によって起動されたEC2インスタンスと通信するためのパスです AWS PCS。スケジューラENIとクラスターEC2インスタンス間の双方向通信ENIを許可する のセキュリティグループを指定する必要があります。

これを実現する簡単な方法は、グループ内のすべてのメンバー間のすべてのポートで TCP/IP トラフィックを許可する、許容される自己参照セキュリティグループを作成することです。これは、クラスターとノードグループEC2インスタンスの両方にアタッチできます。

許容セキュリティグループ設定の例

[Rule type] (ルールタイプ)	プロトコル	ポート	送信元	デスティネーション
インバウンド	すべて	すべて	自分
アウトバウンド	すべて	すべて		0.0.0.0/0
アウトバウンド	すべて	すべて		自分

これらのルールにより、すべてのトラフィックが Slurm コントローラーとノード間で自由に流れ、任意の宛先へのすべてのアウトバウンドトラフィックが許可され、EFAトラフィック が有効になります。

制限付きセキュリティグループ設定の例

クラスターとそのコンピューティングノード間の開いているポートを制限することもできます。Slurm スケジューラの場合、クラスターにアタッチされたセキュリティグループは、次のポートを許可する必要があります。

• 6817 – EC2インスタンスslurmctldから へのインバウンド接続を有効にする

• 6818 – EC2インスタンスで から slurmd の実行slurmctldへのアウトバウンド接続を有効にする

コンピューティングノードにアタッチされたセキュリティグループは、次のポートを許可する必要があります。

• 6817 – EC2インスタンスslurmctldからの へのアウトバウンド接続を有効にします。

• 6818 — ノードグループインスタンスslurmdの slurmctldと slurmd との間のインバウンドおよびアウトバウンド接続を有効にします

• 60001 ～ 63000 - サポートするノードグループインスタンス間のインバウンド接続とアウトバウンド接続 srun

• EFA ノードグループインスタンス間の トラフィック。詳細については、「Linux インスタンス用ユーザーガイド」のEFA「 が有効なセキュリティグループを準備する」を参照してください。

• ワークロードに必要なその他のノード間トラフィック