Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grundlegendes zur Verschlüsselung bei der Übertragung
Sie können einen EMR Cluster so konfigurieren, dass er Open-Source-Frameworks wie Apache Spark
Wenn die Verschlüsselung während der Übertragung auf einem EMR Cluster aktiviert ist, verwenden verschiedene Netzwerkendpunkte unterschiedliche Verschlüsselungsmechanismen. In den folgenden Abschnitten erfahren Sie mehr über die spezifischen Open-Source-Framework-Netzwerkendpunkte, die mit der Verschlüsselung während der Übertragung unterstützt werden, die zugehörigen Verschlüsselungsmechanismen und welche EMR Amazon-Version diese Unterstützung hinzugefügt hat. Jede Open-Source-Anwendung verfügt möglicherweise auch über unterschiedliche bewährte Methoden und Open-Source-Framework-Konfigurationen, die Sie ändern können.
Um die Verschlüsselung während der Übertragung bestmöglich abzudecken, empfehlen wir, sowohl die Verschlüsselung während der Übertragung als auch Kerberos zu aktivieren. Wenn Sie nur die Verschlüsselung bei der Übertragung aktivieren, ist die Verschlüsselung bei der Übertragung nur für die Netzwerkendpunkte verfügbar, die dies unterstützen. TLS Kerberos ist erforderlich, da einige Open-Source-Framework-Netzwerkendpunkte Simple Authentication und Security Layer () für die Verschlüsselung bei der Übertragung verwenden. SASL
Beachten Sie, dass Open-Source-Frameworks, die in Amazon EMR 7.x.x-Versionen nicht unterstützt werden, nicht enthalten sind.
Spark
Wenn Sie die Verschlüsselung während der Übertragung in Sicherheitskonfigurationen aktivieren, spark.authenticate wird automatisch die AES basierte Verschlüsselung für Verbindungen true ausgewählt und verwendet. RPC
Ab Amazon EMR 7.3.0 können Sie Spark-Anwendungen, die vom Hive-Metastore abhängen, nicht mehr verwenden, wenn Sie Verschlüsselung bei der Übertragung und Kerberos-Authentifizierung verwenden. Hive 3 behebt dieses Problem in -16340. HIVEhive.metastore.use.SSL false zu umgehen. Weitere Informationen finden Sie unter Konfigurieren von Anwendungen.
Weitere Informationen finden Sie unter Spark-Sicherheit
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Spark History Server |
spark.ssl.history.port |
18480 |
TLS |
emr-5.3.0+, emr-6.0.0+, emr-7.0.0+ |
|
Spark-Benutzeroberfläche |
spark.ui.port |
4440 |
TLS |
emr-5.3.0+, emr-6.0.0+, emr-7.0.0+ |
|
Spark-Treiber |
spark.driver.port |
Dynamisch |
Spark-basierte Verschlüsselung AES |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
Spark Executor |
Executor-Port (keine benannte Konfiguration) |
Dynamisch |
Spark-basierte Verschlüsselung AES |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
YARN NodeManager |
spark.shuffle.service.port 1 |
7337 |
AESSpark-basierte Verschlüsselung |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
1 wird auf Apache Spark gehostetspark.shuffle.service.port, aber nur von YARN NodeManager Apache Spark verwendet.
Hadoop YARN
Secure Hadoop RPCprivacy Übertragung eingestellt und verwendet diese. Dies setzt voraus, dass die Kerberos-Authentifizierung in der Sicherheitskonfiguration aktiviert ist. Wenn Sie keine Verschlüsselung während der Übertragung für RPC Hadoop wünschen, konfigurieren Sie. hadoop.rpc.protection = authentication Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.
Wenn Ihre TLS Zertifikate die Anforderungen zur Überprüfung TLS des Hostnamens nicht erfüllen, können Sie sie konfigurierenhadoop.ssl.hostname.verifier = ALLOW_ALL. Wir empfehlen Ihnen, die Standardkonfiguration von zu verwendenhadoop.ssl.hostname.verifier = DEFAULT, die die Überprüfung des TLS Hostnamens erzwingt.
Um sie HTTPS für die Endpunkte der YARN Webanwendung zu deaktivieren, konfigurieren Sie. yarn.http.policy = HTTP_ONLY Dadurch bleibt der Datenverkehr zu diesen Endpunkten unverschlüsselt. Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.
Weitere Informationen finden Sie unter Hadoop in Secure Mode
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
ResourceManager |
yarn.resourcemanager.webapp.address |
8088 |
TLS |
emr-7.3.0+ |
ResourceManager |
yarn.resourcemanager.resource-tracker.address |
8025 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
ResourceManager |
yarn.resourcemanager.scheduler.address |
8030 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
ResourceManager |
yarn.resourcemanager.address |
8032 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
ResourceManager |
yarn.resourcemanager.admin.address |
8033 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
TimelineServer |
garn.timeline-service.adresse |
10200 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
TimelineServer |
garn.timeline-service.webapp.adresse |
8188 |
TLS |
emr-7.3.0+ |
|
WebApplicationProxy |
yarn.web-proxy.address |
20888 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
NodeManager |
yarn.nodemanager.address |
8041 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
NodeManager |
yarn.nodemanager.localizer.address |
8040 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
NodeManager |
yarn.nodemanager.webapp.address |
8044 |
TLS |
emr-7.3.0+ |
|
NodeManager |
mapreduce.shuffle.Anschluss 1 |
13562 |
TLS |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
NodeManager |
spark.shuffle.service.port 2 |
7337 |
AESSpark-basierte Verschlüsselung |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
1 wird auf mapreduce.shuffle.port Hadoop gehostet, aber nur YARN NodeManager von Hadoop verwendet. MapReduce
2 spark.shuffle.service.port wird auf Apache Spark gehostet YARN NodeManager , aber nur von Apache Spark verwendet.
Hadoop HDFS
Der Hadoop-Name-Node, der Datenknoten und der Journal-Node unterstützen TLS standardmäßig alle, wenn die Verschlüsselung bei der Übertragung in Clustern aktiviert ist. EMR
Secure Hadoop RPCprivacy und verwendet diese. Dies setzt voraus, dass die Kerberos-Authentifizierung in der Sicherheitskonfiguration aktiviert ist.
Wir empfehlen, die für HTTPS Endgeräte verwendeten Standardports nicht zu ändern.
Die Datenverschlüsselung bei der HDFS Blockübertragung verwendet
Weitere Informationen finden Sie unter Hadoop in Secure Mode
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Namenode |
dfs.namenode.https-Adresse |
9871 |
TLS |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
Benennen Sie den Knoten |
dfs.namenode.rpc-address |
8020 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
Datenknoten |
dfs.datanode.https.address |
9865 |
TLS |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
Datenknoten |
dfs.datanode.address |
9866 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
Journalknoten |
dfs.journalnode.https-Adresse |
8481 |
TLS |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
Journalknoten |
dfs.journalnode.rpc-Adresse |
8485 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
DFSZKFailoverController |
dfs.ha.zkfc.port |
8019 |
None |
TLSfor ZKFC wird nur in Hadoop 3.4.0 unterstützt. Weitere Informationen finden Sie unter HADOOP-18919 |
Hadoop MapReduce
Hadoop MapReduce, Job History Server und MapReduce Shuffle unterstützen TLS standardmäßig alles, wenn die Verschlüsselung bei der Übertragung in Clustern aktiviert ist. EMR
Hadoop-verschlüsseltes Shuffle verwendet MapReduce
Wir empfehlen, die Standardports für HTTPS Endgeräte nicht zu ändern.
Weitere Informationen finden Sie unter Hadoop in Secure Mode
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
JobHistoryServer |
mapreduce.jobhistory.webapp.https.address |
19890 |
TLS |
emr-7.3.0+ |
|
YARN NodeManager |
mapreduce.shuffle.Anschluss 1 |
13562 |
TLS |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
1 wird auf mapreduce.shuffle.port Hadoop gehostet, aber nur YARN NodeManager von Hadoop verwendet. MapReduce
Presto
In EMR Amazon-Versionen 5.6.0 und höher verwendet TLS Amazon EMR für die interne Kommunikation zwischen dem Presto-Koordinator und den Mitarbeitern alle erforderlichen Konfigurationen, um eine sichere interne Kommunikation
Wenn der Connector den Hive-Metastore als Metadatenspeicher verwendet, wird die Kommunikation zwischen dem Communicator und dem Hive-Metastore ebenfalls mit verschlüsselt. TLS
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Presto-Koordinator |
http-server.https.port |
8446 |
TLS |
emr-5.6.0+, emr-6.0.0+, emr-7.0.0+ |
|
Presto, Arbeiter |
http-server.https.port |
8446 |
TLS |
emr-5.6.0+, emr-6.0.0+, emr-7.0.0+ |
Trino
In EMR Amazon-Versionen 6.1.0 und höher verwendet TLS Amazon EMR für die interne Kommunikation zwischen dem Presto-Koordinator und den Mitarbeitern alle erforderlichen Konfigurationen, um eine sichere interne Kommunikation
Wenn der Konnektor den Hive-Metastore als Metadatenspeicher verwendet, wird die Kommunikation zwischen dem Communicator und dem Hive-Metastore ebenfalls mit verschlüsselt. TLS
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Trino-Koordinator |
http-server.https.port |
8446 |
TLS |
emr-6.1.0+, emr-7.0.0+ |
|
Trino, Arbeiter |
http-server.https.port |
8446 |
TLS |
emr-6.1.0+, emr-7.0.0+ |
Hive und Tez
Standardmäßig unterstützen TLS Hive Server 2, Hive Metastore Server, Hive LLAP Daemon Web UI und Hive LLAP Shuffle alle, wenn die Verschlüsselung während der Übertragung in den Clustern aktiviert ist. EMR Weitere Informationen zu den Hive-Konfigurationen finden Sie unter Konfigurationseigenschaften.
Die Tez-Benutzeroberfläche, die auf dem Tomcat-Server gehostet wird, ist ebenfalls HTTPS aktiviert, wenn die Verschlüsselung bei der Übertragung im Cluster aktiviert ist. EMR HTTPSIst jedoch für den Tez AM-Web-UI-Dienst deaktiviert, sodass AM-Benutzer keinen Zugriff auf die Keystore-Datei für den öffnenden Listener haben. SSL Sie können dieses Verhalten auch mit den booleschen Konfigurationen und aktivieren. tez.am.tez-ui.webservice.enable.ssl tez.am.tez-ui.webservice.enable.client.auth
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
HiveServer2 |
hive.server2.thrift.port |
10000 |
TLS |
emr-6.9.0+, emr-7.0.0+ |
|
HiveServer2 |
hive.server2.thrift.http.port |
10001 |
TLS |
emr-6.9.0+, emr-7.0.0+ |
|
HiveServer2 |
hive.server2.webui.port |
10002 |
TLS |
emr-7.3.0+ |
|
HiveMetastoreServer |
hive.metastore.port |
9083 |
TLS |
emr-7.3.0+ |
|
LLAP-Daemon |
hive.llap.daemon.yarn.shuffle.port |
15551 |
TLS |
emr-7.3.0+ |
|
LLAP-Daemon |
hive.llap.daemon.web.port |
15002 |
TLS |
emr-7.3.0+ |
|
LLAP-Daemon |
hive.llap.daemon.output.service.port |
15003 |
None |
Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung |
|
LLAP-Daemon |
hive.llap.management.rpc.port |
15004 |
None |
Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung |
|
LLAP-Daemon |
hive.llap.plugin.rpc.port |
Dynamisch |
None |
Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung |
|
LLAP-Daemon |
hive.llap.daemon.rpc.port |
Dynamisch |
None |
Hive unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung |
|
W ebHCat |
templeton.port |
50111 |
TLS |
emr-7.3.0+ |
|
Tez-Anwendungsmaster |
tez.am.client.am.port-Bereich tez.am.task.am.port-Bereich |
Dynamisch |
None |
Tez unterstützt für diesen Endpunkt keine Verschlüsselung während der Übertragung |
|
Tez Application Master |
tez.am.tez-ui.webservice.portrange |
Dynamisch |
None |
Standardmäßig deaktiviert. Kann mithilfe von Tez-Konfigurationen in emr-7.3.0+ aktiviert werden |
|
Tez-Aufgabe |
N/A - nicht konfigurierbar |
Dynamisch |
None |
Tez unterstützt für diesen Endpunkt keine Verschlüsselung bei der Übertragung |
|
Tez UI |
Konfigurierbar über den Tomcat-Server, auf dem die Tez-Benutzeroberfläche gehostet wird |
8080 |
TLS |
emr-7.3.0+ |
Flink
Apache REST Flink-Endpunkte und die interne Kommunikation zwischen Flink-Prozessen werden TLS standardmäßig unterstützt, wenn Sie die Verschlüsselung während der Übertragung in Clustern aktivieren. EMR
security.ssl.internal.enabledtrue und verwendet diese Verschlüsselung für die interne Kommunikation zwischen den Flink-Prozessen. Wenn Sie keine Verschlüsselung während der Übertragung für die interne Kommunikation wünschen, deaktivieren Sie diese Konfiguration. Wir empfehlen Ihnen, die Standardkonfiguration für maximale Sicherheit zu verwenden.
Amazon EMR stellt security.ssl.rest.enabledtrue und verwendet diese. Darüber hinaus setzt Amazon EMR auch historyserver.web.ssl.enabled
Amazon EMR verwendet security.ssl.algorithms
Weitere Informationen finden Sie unter SSLSetup
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Flink History Server |
historyserver.web.port |
8082 |
TLS |
emr-7.3.0+ |
|
Job Manager-Restserver |
rest.bind-port rest.port |
Dynamisch |
TLS |
emr-7.3.0+ |
HBase
Amazon EMR setzt Secure Hadoop RPCprivacy. HMasterund RegionServer verwenden Sie eine SASL basierte Verschlüsselung bei der Übertragung. Dies setzt voraus, dass die Kerberos-Authentifizierung in der Sicherheitskonfiguration aktiviert ist.
Amazon EMR setzt hbase.ssl.enabled den Wert auf true und verwendet TLS für UI-Endpunkte. Wenn Sie diese Konfiguration nicht TLS für UI-Endpunkte verwenden möchten, deaktivieren Sie diese Konfiguration. Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.
Amazon EMR legt die Serverendpunkte fest hbase.rest.ssl.enabled hbase.thrift.ssl.enabled und verwendet sie TLS für die REST und Thirft-Serverendpunkte. Wenn Sie diese Konfiguration nicht TLS für diese Endpunkte verwenden möchten, deaktivieren Sie diese Konfiguration. Wir empfehlen, die Standardkonfiguration für maximale Sicherheit zu verwenden.
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
HMaster |
HMaster |
16000 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
HMaster |
HMasterUI |
16010 |
TLS |
emr-7.3.0+ |
|
RegionServer |
RegionServer |
16020 |
SASL+ Kerberos |
emr-4.8.0+, emr-5.0.0+, emr-6.0.0+, emr-7.0.0+ |
|
RegionServer |
RegionServer Informationen |
16030 |
TLS |
emr-7.3.0+ |
|
HBaseServer ausruhen |
Rest-Server |
8070 |
TLS |
emr-7.3.0+ |
|
HBaseServer ausruhen |
Rest-Benutzeroberfläche |
8085 |
TLS |
emr-7.3.0+ |
|
Hbase Thrift Server |
Sparsamer Server |
9090 |
TLS |
emr-7.3.0+ |
|
Hbase Thrift Server |
Thrift Server-Benutzeroberfläche |
9095 |
TLS |
emr-7.3.0+ |
Phoenix
Wenn Sie die Verschlüsselung während der Übertragung in Ihrem EMR Cluster aktiviert haben, unterstützt Phoenix Query Server die TLS Eigenschaftphoenix.queryserver.tls.enabled, die standardmäßig auf gesetzt ist. true
Weitere Informationen finden Sie unter Konfigurationen in Bezug auf HTTPS
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Server abfragen |
phoenix.queryserver.http.port |
8765 |
TLS |
emr-7.3.0+ |
Oozie
OOZIE-3673oozie.email.smtp.ssl.protocols in der Datei festlegen. oozie-site.xml Wenn Sie die Verschlüsselung bei der Übertragung aktiviert haben, EMR verwendet Amazon standardmäßig das TLS v1.3-Protokoll.
OOZIE-3677keyStoreType trustStoreType oozie-site.xml OOZIE-3674 fügt den Parameter dem Oozie-Client --insecure hinzu, sodass dieser Zertifikatsfehler ignorieren kann.
Oozie erzwingt die Überprüfung TLS des Hostnamens, was bedeutet, dass jedes Zertifikat, das Sie für die Verschlüsselung während der Übertragung verwenden, die Anforderungen zur Überprüfung des Hostnamens erfüllen muss. Wenn das Zertifikat die Kriterien nicht erfüllt, kann es sein, dass der Cluster in der oozie share lib update Phase, in der Amazon den Cluster EMR bereitstellt, hängen bleibt. Wir empfehlen Ihnen, Ihre Zertifikate zu aktualisieren, um sicherzustellen, dass sie der Hostnamenverifizierung entsprechen. Wenn Sie die Zertifikate jedoch nicht aktualisieren können, können Sie sie SSL für Oozie deaktivieren, indem Sie die oozie.https.enabled Eigenschaft false in der Cluster-Konfiguration auf setzen.
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
EmbeddedOozieServer |
oozie.https.port |
11443 |
TLS |
emr-7.3.0+ |
|
EmbeddedOozieServer |
oozie.email.smtp.port |
25 |
TLS |
emr-7.3.0+ |
Hue
Standardmäßig unterstützt Hue, TLS wenn die Verschlüsselung während der Übertragung in EMR Amazon-Clustern aktiviert ist. Weitere Informationen zu Hue-Konfigurationen finden Sie unter Hue mitHTTPS/SSLkonfigurieren
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Hue |
http_port |
8888 |
TLS |
emr-7.4.0+ |
Livy
Standardmäßig unterstützt Livy, TLS wenn die Verschlüsselung während der Übertragung in EMR Amazon-Clustern aktiviert ist. Weitere Informationen zu Livy-Konfigurationen finden Sie unter Aktivierung HTTPS mit Apache Livy.
Ab Amazon EMR 7.3.0 können Sie, wenn Sie Verschlüsselung bei der Übertragung und Kerberos-Authentifizierung verwenden, den Livy-Server nicht für Spark-Anwendungen verwenden, die vom Hive-Metastore abhängen. Dieses Problem wurde in HIVE-16340 behoben und in SPARK-44114hive.metastore.use.SSL false Weitere Informationen finden Sie unter Konfigurieren von Anwendungen.
Weitere Informationen finden Sie unter Aktivierung HTTPS mit Apache Livy.
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Livy-Server |
livy.server.port |
8998 |
TLS |
emr-7.4.0+ |
JupyterEnterpriseGateway
Standardmäßig unterstützt Jupyter Enterprise Gateway, TLS wenn die Verschlüsselung während der Übertragung in Amazon-Clustern aktiviert ist. EMR Weitere Informationen zu den Jupyter Enterprise Gateway-Konfigurationen finden Sie unter Securing Enterprise Gateway Server.
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
jupyter_enterprise_gateway |
c.-Anschluss EnterpriseGatewayApp |
9547 |
TLS |
emr-7.4.0+ |
JupyterHub
JupyterHub Unterstützt standardmäßig, TLS wenn die Verschlüsselung während der Übertragung in EMR Amazon-Clustern aktiviert ist. Weitere Informationen finden Sie in der JupyterHub Dokumentation unter SSLVerschlüsselung aktivieren
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
jupyter_hub |
c.-Anschluss JupyterHub |
9443 |
TLS |
emr-5.14.0+, emr-6.0.0+, emr-7.0.0+ |
Zeppelin
Standardmäßig unterstützt Zeppelin, wenn Sie die Verschlüsselung während der Übertragung in Ihrem Cluster aktivieren. TLS EMR Weitere Informationen zu den Zeppelin-Konfigurationen finden Sie unter SSLKonfiguration
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Zeppelin |
zeppelin.server.ssl.port |
8890 |
TLS |
7.3.0+ |
Zookeeper
Amazon EMR stellt serverCnxnFactory auf, org.apache.zookeeper.server.NettyServerCnxnFactory um das Zookeeper-Quorum und die Kundenkommunikation zu aktivierenTLS.
secureClientPortgibt den Port an, der Verbindungen abhört. TLS Wenn der Client keine TLS Verbindungen zu Zookeeper unterstützt, können sich Clients mit dem unsicheren Port 2181 verbinden, der unter angegeben ist. clientPort Sie können diese beiden Ports überschreiben oder deaktivieren.
Amazon EMR legt sslQuorum sowohl als auch auf festadmin.forceHttps, true um die TLS Kommunikation für das Quorum und den Admin-Server zu ermöglichen. Wenn Sie keine Verschlüsselung während der Übertragung für das Quorum und den Admin-Server wünschen, können Sie diese Konfigurationen deaktivieren. Wir empfehlen, die Standardkonfigurationen für maximale Sicherheit zu verwenden.
Weitere Informationen finden Sie unter Verschlüsselung, Authentifizierung und Autorisierungsoptionen
| Komponente | Endpunkt | Port | Verschlüsselungsmechanismus bei der Übertragung | Ab Version unterstützt |
|---|---|---|---|---|
|
Zookeeper-Server |
secureClientPort |
2281 |
TLS |
emr-7.4.0+ |
|
Zookeeper-Server |
Quorum-Ports |
Es gibt 2: Follower verwenden 2888, um sich mit dem Anführer zu verbinden. Bei der Wahl des Führers werden 3888 verwendet |
TLS |
emr-7.4.0+ |
|
Zookeeper-Server |
Administrator. serverPort |
8341 |
TLS |
emr-7.4.0+ |
