安全组用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。本文为您介绍如何添加安全组及安全组规则。
背景信息
您在创建E-MapReduce集群时,可以使用已有的安全组或者新建安全组,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。您可以将ECS实例按照功能划分,放于不同的安全组中。例如,通过E-MapReduce创建的安全组为E-MapReduce安全组,而您已有的安全组为用户安全组,每个安全组按照不同的需要设置不同的访问控制策略。
新建安全组详情,请参见创建安全组。
使用限制
经典网络类型下,实例必须加入同一地域下经典网络类型的安全组。
专有网络类型下,实例必须加入同一专有网络下的安全组。
注意事项
添加安全组规则时,一定要限制访问IP地址范围,且不要使用0.0.0.0/0,避免被攻击。
添加安全组规则时,开放应用出入规则应遵循最小授权原则,授权对象只针对当前服务器的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。
禁止使用在ECS上创建的企业安全组。
EMR服务通过VIP网段为EMR集群提供管控服务,请勿在集群安全组中拒绝100.64.0.0/10网段和OSS服务的内网VIP网段(详见OSS内网域名与VIP网段对照表)访问。
因您使用不当的安全组策略导致网络无法连通,EMR服务无法正常工作所引起的损失和后果均由您自行承担。
配置EMR集群安全组规则时,必须确保集群内所有ECS实例间内网互通,否则将影响EMR集群大数据服务。
添加安全组
进入节点管理页面。
在顶部菜单栏处,根据实际情况选择地域和资源组。
在集群管理页面,单击目标集群所在行的节点管理。
进入安全组列表页面。
在节点管理页面,单击机器组前面的
图标。单击ECS实例的ECS ID。
在该ECS实例页面,单击上方的安全组页签。
在安全组列表页面,单击加入安全组。
在ECS实例加入安全组对话框中,从安全组列表中选择需要加入的安全组。
如果您需要将该ECS实例一次加入多个安全组,选择一个安全组后,单击后面的加入到批量选择栏,即会把该安全组加入到批量选择栏中,依次按照相同方法再选择其他安全组,把其他安全组也加入到批量选择栏中即可。
单击确定。
添加安全组规则
获取机器的公网访问IP地址。
为了安全地访问集群组件,在设置安全组策略时,推荐您只针对当前的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。
进入安全组页面。
在顶部菜单栏处,根据实际情况选择地域和资源组。
在集群管理页面,单击目标集群的集群ID。
在基础信息页面,单击集群安全组后面的链接。
在安全组规则页面,单击手动添加,填写安全组策略。
单击保存。