Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
VPCOpciones de Amazon al lanzar un clúster
Cuando lanzas un EMR clúster de Amazon dentro de unaVPC, puedes lanzarlo dentro de una subred pública, privada o compartida. Existen ligeras pero importantes diferencias en la configuración, en función del tipo de subred que elija para un clúster.
Subredes públicas
EMRLos clústeres de una subred pública requieren una puerta de enlace a Internet conectada. Esto se debe a que EMR los clústeres de Amazon deben acceder a AWS los servicios y a AmazonEMR. Si un servicio, como Amazon S3, ofrece la posibilidad de crear un VPC punto de enlace, puede acceder a esos servicios mediante el punto de enlace en lugar de acceder a un punto final público a través de una puerta de enlace de Internet. Además, Amazon EMR no puede comunicarse con clústeres de subredes públicas a través de un dispositivo de traducción de direcciones de red (NAT). Para ello, se necesita una puerta de enlace de Internet, pero puede seguir utilizando una NAT instancia o una puerta de enlace para otro tipo de tráfico en escenarios más complejos.
Todas las instancias de un clúster se conectan a Amazon S3 a través de un VPC punto de conexión o una puerta de enlace de Internet. Otros AWS servicios que actualmente no son compatibles con los VPC puntos de enlace utilizan únicamente una puerta de enlace a Internet.
Si dispone de AWS recursos adicionales y no desea que se conecten a la puerta de enlace de Internet, puede lanzar esos componentes en una subred privada que cree en su interior. VPC
Los clústeres que se ejecutan en una subred pública utilizan dos grupos de seguridad: uno para el nodo principal y otro para los nodos básicos y de tarea. Para obtener más información, consulte Controla el tráfico de red con grupos de seguridad para tu EMR clúster de Amazon.
El siguiente diagrama muestra cómo se ejecuta un EMR clúster de Amazon en VPC una subred pública. El clúster puede conectarse a otros AWS recursos, como los buckets de Amazon S3, a través de la puerta de enlace de Internet.
En el siguiente diagrama, se muestra cómo configurar un clúster VPC para que VPC pueda acceder a los recursos de su propia red, como una base de datos Oracle.
Subredes privadas
Una subred privada le permite lanzar AWS recursos sin necesidad de que la subred tenga una puerta de enlace de Internet conectada. Amazon EMR admite el lanzamiento de clústeres en subredes privadas con las versiones 4.2.0 o posteriores.
nota
Al configurar un EMR clúster de Amazon en una subred privada, le recomendamos que también configure VPCpuntos de enlace para Amazon S3. Si su EMR clúster se encuentra en una subred privada sin VPC puntos de enlace para Amazon S3, incurrirá en cargos de NAT puerta de enlace adicionales asociados al tráfico de S3, ya que el tráfico entre su EMR clúster y S3 no permanecerá dentro de usted. VPC
Las subredes privadas se diferencian de las públicas en los siguientes aspectos:
-
Para acceder a AWS los servicios que no proporcionan un VPC punto de enlace, igual debe usar una NAT instancia o una puerta de enlace de Internet.
-
Como mínimo, debe proporcionar una ruta al depósito de registros del EMR servicio de Amazon y al repositorio de Amazon Linux en Amazon S3. Para obtener más información, consulte Ejemplos de políticas para subredes privadas que acceden a Amazon S3
-
Si usa EMRFS funciones, debe tener un VPC punto de conexión Amazon S3 y una ruta desde su subred privada a DynamoDB.
-
La depuración solo funciona si proporciona una ruta desde su subred privada a un punto final de Amazon SQS público.
-
La creación de una configuración de subred privada con una NAT instancia o puerta de enlace en una subred pública solo se admite mediante. AWS Management Console La forma más sencilla de añadir y configurar NAT instancias y VPC puntos de enlace de Amazon S3 para los EMR clústeres de Amazon es utilizar la página de lista de VPC subredes de la consola de AmazonEMR. Para configurar NAT las puertas de enlace, consulte NATGateways en la Guía del VPCusuario de Amazon.
-
No puedes cambiar una subred con un EMR clúster de Amazon existente de pública a privada o viceversa. Para ubicar un EMR clúster de Amazon dentro de una subred privada, el clúster debe iniciarse en esa subred privada.
Amazon EMR crea y utiliza diferentes grupos de seguridad predeterminados para los clústeres de una subred privada: ElasticMapReduce-Master-Private, ElasticMapReduce -Slave-Private y -. ElasticMapReduce ServiceAccess Para obtener más información, consulte Controla el tráfico de red con grupos de seguridad para tu EMR clúster de Amazon.
Para obtener una lista completa NACLs de tu clúster, selecciona Grupos de seguridad para el clúster principal y Grupos de seguridad para Core & Task en la página de detalles del clúster de Amazon EMR console.
La siguiente imagen muestra cómo se configura un EMR clúster de Amazon dentro de una subred privada. La única comunicación fuera de la subred es con AmazonEMR.
La siguiente imagen muestra un ejemplo de configuración para un EMR clúster de Amazon dentro de una subred privada conectada a una NAT instancia que reside en una subred pública.
Subredes compartidas
VPCel uso compartido permite a los clientes compartir subredes con otras AWS cuentas de la misma AWS organización. Puedes lanzar EMR clústeres de Amazon en subredes compartidas públicas y privadas, con las siguientes advertencias.
El propietario de la subred debe compartir una subred contigo antes de que puedas lanzar un EMR clúster de Amazon en ella. Sin embargo, las subredes compartidas se pueden dejar de compartir más adelante. Para obtener más información, consulte Trabajar con Shared. VPCs Cuando se lanza un clúster a una subred compartida y esa subred compartida deja de compartirse, puede observar comportamientos específicos en función del estado del EMR clúster de Amazon cuando la subred no se comparte.
-
La subred no se comparte antes de que el clúster se lance correctamente: si el propietario deja de compartir Amazon VPC o la subred mientras el participante lanza un clúster, es posible que el clúster no se inicie o que se inicialice parcialmente sin aprovisionar todas las instancias solicitadas.
-
La subred deja de compartirse después de que el clúster se haya lanzado correctamente: cuando el propietario deje de compartir una subred o Amazon VPC con el participante, los clústeres del participante no podrán cambiar su tamaño para añadir nuevas instancias o reemplazar las que no estén funcionando correctamente.
Al lanzar un EMR clúster de Amazon, se crean varios grupos de seguridad. En una subred compartida, el participante de la subred controla estos grupos de seguridad. El propietario de la subred pueden ver estos grupos de seguridad, pero no puede realizar ninguna acción en ellos. Si el propietario de la subred quiere eliminar o modificar el grupo de seguridad, el participante que ha creado el grupo de seguridad debe realizar la acción.
Controle VPC los permisos con IAM
De forma predeterminada, todos los usuarios de pueden ver todas las subredes de la cuenta y cualquier usuario puede lanzar un clúster en cualquier subred.
Cuando lanzas un clúster en unVPC, puedes usar AWS Identity and Access Management (IAM) para controlar el acceso a los clústeres y restringir las acciones mediante políticas, tal como lo harías con los clústeres lanzados en Amazon EC2 Classic. Para obtener más información sobre IAM, consulte la Guía del usuario de IAM.
También puede utilizar IAM para controlar quién puede crear y administrar subredes. Por ejemplo, puedes crear un IAM rol para administrar subredes y un segundo rol que pueda lanzar clústeres pero no pueda modificar la VPC configuración de Amazon. Para obtener más información sobre la administración de políticas y acciones en Amazon EC2 y AmazonVPC, consulta IAMPolíticas de Amazon EC2 en la Guía del EC2 usuario de Amazon.
