如何添加安全性群組及安全性群組規則 - E-MapReduce

安全性群組用於設定叢集內ECS執行個體的網路存取控制，是重要的安全隔離手段。本文為您介紹如何添加安全性群組及安全性群組規則。

背景資訊

您在建立E-MapReduce叢集時，可以使用已有的安全性群組或者建立安全性群組，對某個安全性群組下的所有ECS執行個體的出方向和入方向進行網路控制。您可以將ECS執行個體按照功能劃分，放於不同的安全性群組中。例如，通過E-MapReduce建立的安全性群組為E-MapReduce安全性群組，而您已有的安全性群組為使用者安全性群組，每個安全性群組按照不同的需要設定不同的存取控制策略。

建立安全性群組詳情，請參見建立安全性群組。

使用限制

傳統網路類型下，執行個體必須加入同一地區下傳統網路類型的安全性群組。
專用網路類型下，執行個體必須加入同一專用網路下的安全性群組。

注意事項

添加安全性群組規則時，一定要限制訪問IP位址範圍，且不要使用0.0.0.0/0，避免被攻擊。
添加安全性群組規則時，開放應用出入規則應遵循最小授權原則，授權對象只針對當前伺服器的公網訪問IP地址開放。您可以通過訪問IP地址，擷取當前伺服器的公網訪問IP地址。
禁止使用在ECS上建立的企業安全性群組。
EMR服務通過VIP網段為EMR叢集提供管控服務，請勿在叢集安全性群組中拒絕100.64.0.0/10網段和OSS服務的內網VIP網段（詳見OSS內網網域名稱與VIP網段對照表）訪問。
因您使用不當的安全性群組策略導致網路無法連通，EMR服務無法正常工作所引起的損失和後果均由您自行承擔。
配置EMR叢集安全性群組規則時，必須確保叢集內所有ECS執行個體間內網互連，否則將影響EMR叢集巨量資料服務。

添加安全性群組

進入節點管理頁面。
1. 登入E-MapReduce控制台。
2. 在頂部功能表列處，根據實際情況選擇地區和資源群組。
3. 在叢集管理頁面，單擊目的地組群所在行的節點管理。
進入安全性群組列表頁面。
1. 在節點管理頁面，單擊機器組前面的表徵圖。
2. 單擊ECS執行個體的ECS ID。
3. 在該ECS執行個體頁面，單擊上方的安全性群組頁簽。
在安全性群組列表頁面，單擊加入安全性群組。
在ECS執行個體加入安全性群組對話方塊中，從安全性群組列表中選擇需要加入的安全性群組。
如果您需要將該ECS執行個體一次加入多個安全性群組，選擇一個安全性群組後，單擊後面的加入到批量選擇欄，即會把該安全性群組加入到批量選擇欄中，依次按照相同方法再選擇其他安全性群組，把其他安全性群組也加入到批量選擇欄中即可。
單擊確定。
請重複步驟2~步驟4操作，直至把E-MapReduce叢集中的其他ECS執行個體也加入到相應安全性群組中。

添加安全性群組規則

擷取機器的公網訪問IP地址。
為了安全地訪問叢集組件，在設定安全性群組策略時，推薦您只針對當前的公網訪問IP地址開放。您可以通過訪問IP地址，擷取當前伺服器的公網訪問IP地址。
進入安全性群組頁面。
1. 登入E-MapReduce控制台。
2. 在頂部功能表列處，根據實際情況選擇地區和資源群組。
3. 在叢集管理頁面，單擊目的地組群的叢集ID。
4. 在基礎資訊頁面，單擊叢集安全性群組後面的連結。

在安全性群組規則頁面，單擊手動添加，填寫安全性群組策略。

填寫連接埠範圍和授權對象，其餘參數保持預設。詳情請參見添加安全性群組規則。

參數	說明
連接埠範圍	填寫允許訪問該ECS執行個體的連接埠。
授權對象	填寫步驟1中擷取的公網訪問IP地址。重要為防止被外部的使用者攻擊導致安全問題，授權對象禁止填寫為0.0.0.0/0。

單擊儲存。