翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# PCS AWS のセキュリティグループ
<a name="working-with_networking_sg"></a>

Amazon EC2 のセキュリティグループは、インスタンスへのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールとして機能します。 AWS PCS コンピューティングノードグループの起動テンプレートを使用して、インスタンスにセキュリティグループを追加または削除します。起動テンプレートにネットワークインターフェイスが含まれていない場合は、 `SecurityGroupIds` を使用してセキュリティグループのリストを指定します。起動テンプレートでネットワークインターフェイスを定義する場合は、 `Groups`パラメータを使用して各ネットワークインターフェイスにセキュリティグループを割り当てる必要があります。起動テンプレートの詳細については、「[PCS での Amazon EC2 AWS 起動テンプレートの使用](working-with_launch-templates.md)」を参照してください。

**注記**  
起動テンプレートのセキュリティグループ設定の変更は、コンピューティングノードグループの更新後に起動された新しいインスタンスにのみ影響します。

## セキュリティグループの要件と考慮事項
<a name="working-with_networking_sg-requirements"></a>

AWS PCS は、クラスターの作成時に指定したサブネットにクロスアカウント [Elastic Network Interface (ENI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) を作成します。これにより、 AWS PCS によって起動された EC2 インスタンスと通信するためのパス AWSである、 が管理するアカウントで実行されている HPC スケジューラが提供されます。スケジューラ ENI とクラスター EC2 インスタンス間の双方向通信を許可する、その ENI のセキュリティグループを指定する必要があります。

これを実現する簡単な方法は、グループ内のすべてのメンバー間のすべてのポートで TCP/IP トラフィックを許可する、許可された自己参照セキュリティグループを作成することです。これは、クラスターとノードグループ EC2 インスタンスの両方にアタッチできます。

### 許可されたセキュリティグループ設定の例
<a name="working-with_networking_sg-requirements_permissive-security-config"></a>

------
#### [ IPv4 ]


| ルールタイプ | プロトコル | ポート | 送信元 | 目的地  | 
| --- | --- | --- | --- | --- | 
| インバウンド | すべて | すべて | 自分 |  | 
| アウトバウンド | すべて | すべて |  | 0.0.0.0/0 | 
| アウトバウンド | すべて | すべて |  | 自分 | 

------
#### [ IPv6 ]


| ルールタイプ | プロトコル | ポート | 送信元 | 目的地  | 
| --- | --- | --- | --- | --- | 
| インバウンド | すべて | すべて | 自分 |  | 
| アウトバウンド | すべて | すべて |  | ::/0 | 
| アウトバウンド | すべて | すべて |  | 自分 | 

------

これらのルールにより、すべてのトラフィックが Slurm コントローラーとノード間で自由に流れ、すべてのアウトバウンドトラフィックが任意の宛先に流れ、[EFA トラフィック](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security)が有効になります。

### 制限付きセキュリティグループ設定の例
<a name="working-with_networking_sg-requirements_restrictive-security-config.title"></a>

クラスターとそのコンピューティングノード間のオープンポートを制限することもできます。Slurm スケジューラの場合、クラスターにアタッチされたセキュリティグループは次のポートを許可する必要があります。
+ 6817 – EC2 インスタンス`slurmctld`から へのインバウンド接続を有効にする
+ 6818 – EC2 インスタンスで`slurmd`実行されている から `slurmctld`へのアウトバウンド接続を有効にする

コンピューティングノードにアタッチされたセキュリティグループは、次のポートを許可する必要があります。
+ 6817 – EC2 インスタンス`slurmctld`から へのアウトバウンド接続を有効にします。
+ 6818 – ノードグループインスタンス`slurmd`の `slurmctld`と `slurmd` との間のインバウンドおよびアウトバウンド接続を有効にする 
+ 60001～63000 — サポートするノードグループインスタンス間のインバウンド接続とアウトバウンド接続 `srun`
+ ノードグループインスタンス間の EFA トラフィック。詳細については、Linux インスタンス用ユーザーガイドの[「EFA 対応セキュリティグループの準備](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security)」を参照してください。 **
+ ワークロードに必要なその他のノード間トラフィック