全部產品
Search
文件中心

E-MapReduce:管理安全性群組

更新時間:Aug 20, 2024

安全性群組用於設定叢集內ECS執行個體的網路存取控制,是重要的安全隔離手段。本文為您介紹如何添加安全性群組及安全性群組規則。

背景資訊

您在建立E-MapReduce叢集時,可以使用已有的安全性群組或者建立安全性群組,對某個安全性群組下的所有ECS執行個體的出方向和入方向進行網路控制。您可以將ECS執行個體按照功能劃分,放於不同的安全性群組中。例如,通過E-MapReduce建立的安全性群組為E-MapReduce安全性群組,而您已有的安全性群組為使用者安全性群組,每個安全性群組按照不同的需要設定不同的存取控制策略。

建立安全性群組詳情,請參見建立安全性群組

使用限制

  • 傳統網路類型下,執行個體必須加入同一地區下傳統網路類型的安全性群組。

  • 專用網路類型下,執行個體必須加入同一專用網路下的安全性群組。

注意事項

  • 添加安全性群組規則時,一定要限制訪問IP位址範圍,且不要使用0.0.0.0/0,避免被攻擊。

  • 添加安全性群組規則時,開放應用出入規則應遵循最小授權原則,授權對象只針對當前伺服器的公網訪問IP地址開放。您可以通過訪問IP地址,擷取當前伺服器的公網訪問IP地址。

  • 禁止使用在ECS上建立的企業安全性群組。

  • EMR服務通過VIP網段為EMR叢集提供管控服務,請勿在叢集安全性群組中拒絕100.64.0.0/10網段和OSS服務的內網VIP網段(詳見OSS內網網域名稱與VIP網段對照表)訪問。

    因您使用不當的安全性群組策略導致網路無法連通,EMR服務無法正常工作所引起的損失和後果均由您自行承擔。

  • 配置EMR叢集安全性群組規則時,必須確保叢集內所有ECS執行個體間內網互連,否則將影響EMR叢集巨量資料服務。

添加安全性群組

  1. 進入節點管理頁面。

    1. 登入E-MapReduce控制台

    2. 在頂部功能表列處,根據實際情況選擇地區和資源群組

    3. 叢集管理頁面,單擊目的地組群所在行的節點管理

  2. 進入安全性群組列表頁面。

    1. 節點管理頁面,單擊機器組前面的add表徵圖。

    2. 單擊ECS執行個體的ECS ID。

    3. 在該ECS執行個體頁面,單擊上方的安全性群組頁簽。

  3. 安全性群組列表頁面,單擊加入安全性群組

  4. ECS執行個體加入安全性群組對話方塊中,從安全性群組列表中選擇需要加入的安全性群組。

    如果您需要將該ECS執行個體一次加入多個安全性群組,選擇一個安全性群組後,單擊後面的加入到批量選擇欄,即會把該安全性群組加入到批量選擇欄中,依次按照相同方法再選擇其他安全性群組,把其他安全性群組也加入到批量選擇欄中即可。

  5. 單擊確定

    請重複步驟2~步驟4操作,直至把E-MapReduce叢集中的其他ECS執行個體也加入到相應安全性群組中。

添加安全性群組規則

  1. 擷取機器的公網訪問IP地址。

    為了安全地訪問叢集組件,在設定安全性群組策略時,推薦您只針對當前的公網訪問IP地址開放。您可以通過訪問IP地址,擷取當前伺服器的公網訪問IP地址。

  2. 進入安全性群組頁面。

    1. 登入E-MapReduce控制台

    2. 在頂部功能表列處,根據實際情況選擇地區和資源群組

    3. 叢集管理頁面,單擊目的地組群的叢集ID。

    4. 基礎資訊頁面,單擊叢集安全性群組後面的連結。

  3. 安全性群組規則頁面,單擊手動添加,填寫安全性群組策略。

    填寫連接埠範圍授權對象,其餘參數保持預設。詳情請參見添加安全性群組規則

    參數

    說明

    連接埠範圍

    填寫允許訪問該ECS執行個體的連接埠。

    授權對象

    填寫步驟1中擷取的公網訪問IP地址。

    重要

    為防止被外部的使用者攻擊導致安全問題,授權對象禁止填寫為0.0.0.0/0

  4. 單擊儲存