Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol lalu lintas jaringan dengan grup keamanan untuk EMR klaster Amazon Anda
Grup keamanan bertindak sebagai firewall virtual untuk EC2 instance di cluster Anda untuk mengontrol lalu lintas masuk dan keluar. Setiap grup keamanan memiliki seperangkat aturan yang mengontrol lalu lintas inbound, dan seperangkat aturan terpisah untuk mengontrol lalu lintas outbound. Untuk informasi selengkapnya, lihat Grup EC2 keamanan Amazon untuk instans Linux di Panduan EC2 Pengguna Amazon.
Anda menggunakan dua kelas grup keamanan dengan AmazonEMR: Grup keamanan yang EMR dikelola Amazon dan grup keamanan tambahan.
Setiap klaster telah mengelola grup keamanan yang terkait dengannya. Anda dapat menggunakan grup keamanan terkelola default yang EMR dibuat Amazon, atau menentukan grup keamanan terkelola khusus. Either way, Amazon EMR secara otomatis menambahkan aturan ke grup keamanan terkelola yang perlu dikomunikasikan oleh kluster antara instance dan AWS layanan cluster.
Grup keamanan tambahan adalah opsional. Anda dapat menentukan mereka selain grup keamanan terkelola untuk menyesuaikan akses ke instans klaster. Grup keamanan tambahan hanya berisi aturan yang Anda tetapkan. Amazon EMR tidak memodifikasinya.
Aturan yang EMR dibuat Amazon dalam grup keamanan terkelola memungkinkan cluster untuk berkomunikasi di antara komponen internal. Untuk mengizinkan pengguna dan aplikasi untuk mengakses klaster dari luar klaster, Anda dapat mengedit aturan di grup keamanan terkelola, Anda dapat membuat grup keamanan tambahan dengan aturan tambahan, atau melakukan keduanya.
penting
Mengedit aturan di grup keamanan terkelola mungkin memiliki konsekuensi yang tidak diinginkan. Anda mungkin secara tidak sengaja mem block lalu lintas yang diperlukan untuk klaster berfungsi dengan baik dan menyebabkan kesalahan karena simpul tidak terjangkau. Hati-hati merencanakan dan menguji konfigurasi grup keamanan sebelum implementasi.
Anda dapat menentukan grup keamanan hanya ketika Anda membuat sebuah klaster. Mereka tidak dapat ditambahkan ke klaster atau instans klaster sementara klaster berjalan, tetapi Anda dapat mengedit, menambah, dan menghapus aturan dari grup keamanan yang ada. Aturan ini berlaku segera setelah Anda menyimpannya.
Grup keamanan yang ketat secara default. Kecuali aturan ditambahkan yang mengizinkan lalu lintas, lalu lintas ditolak. Jika ada lebih dari satu aturan yang berlaku untuk lalu lintas yang sama dan sumber yang sama, aturan yang paling permisif akan berlaku. Misalnya, jika Anda memiliki aturan yang memungkinkan SSH dari alamat IP 192.0.2.12/32, dan aturan lain yang memungkinkan akses ke semua TCP lalu lintas dari kisaran 192.0.2.0/24, aturan yang memungkinkan semua lalu lintas dari kisaran yang mencakup 192.0.2.12 diutamakan. TCP Di kasus ini, klien di 192.0.2.12 mungkin memiliki akses lebih dari yang Anda inginkan.
penting
Berhati-hatilah saat Anda mengedit aturan grup keamanan untuk membuka port. Pastikan untuk menambahkan aturan yang hanya mengizinkan lalu lintas dari klien tepercaya dan terautentikasi untuk protokol dan port yang diperlukan untuk menjalankan beban kerja Anda.
Anda dapat mengonfigurasi Amazon EMR memblokir akses publik di setiap Wilayah yang Anda gunakan untuk mencegah pembuatan klaster jika aturan mengizinkan akses publik pada port apa pun yang tidak Anda tambahkan ke daftar pengecualian. Untuk AWS akun yang dibuat setelah Juli 2019, Amazon EMR memblokir akses publik aktif secara default. Untuk AWS akun yang membuat cluster sebelum Juli 2019, Amazon EMR memblokir akses publik secara default tidak aktif. Untuk informasi selengkapnya, lihat Menggunakan Amazon EMR memblokir akses publik.
Topik
catatan
Amazon EMR bertujuan untuk menggunakan alternatif inklusif untuk istilah industri yang berpotensi menyinggung atau non-inklusif seperti “master” dan “slave”. Kami telah beralih ke terminologi baru untuk menumbuhkan pengalaman yang lebih inklusif dan untuk memfasilitasi pemahaman Anda tentang komponen layanan.
Kami sekarang mendeskripsikan “node” sebagai instance, dan kami mendeskripsikan jenis EMR instans Amazon sebagai instance primer, inti, dan tugas. Selama transisi, Anda mungkin masih menemukan referensi lama ke istilah yang sudah ketinggalan zaman, seperti yang berkaitan dengan grup keamanan untuk Amazon. EMR
