Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol lalu lintas jaringan dengan grup keamanan untuk klaster EMR Amazon Anda
Grup keamanan bertindak sebagai firewall virtual untuk EC2 instance di cluster Anda untuk mengontrol lalu lintas masuk dan keluar. Setiap grup keamanan memiliki seperangkat aturan yang mengontrol lalu lintas inbound, dan seperangkat aturan terpisah untuk mengontrol lalu lintas outbound. Untuk informasi selengkapnya, lihat Grup EC2 keamanan Amazon untuk instans Linux di Panduan EC2 Pengguna Amazon.
Anda menggunakan dua kelas grup keamanan dengan Amazon EMR: grup keamanan terkelola Amazon EMR dan Grup keamanan tambahan.
Setiap klaster telah mengelola grup keamanan yang terkait dengannya. Anda dapat menggunakan grup keamanan terkelola default yang dibuat Amazon EMR, atau menentukan grup keamanan terkelola khusus. Either way, Amazon EMR secara otomatis menambahkan aturan ke grup keamanan terkelola yang perlu dikomunikasikan oleh kluster antara instance dan layanan cluster. AWS
Grup keamanan tambahan adalah opsional. Anda dapat menentukan mereka selain grup keamanan terkelola untuk menyesuaikan akses ke instans klaster. Grup keamanan tambahan hanya berisi aturan yang Anda tetapkan. Amazon EMR tidak memodifikasi mereka.
Aturan yang Amazon EMR ciptakan di grup keamanan terkelola mengizinkan klaster untuk berkomunikasi antara komponen internal. Untuk mengizinkan pengguna dan aplikasi untuk mengakses klaster dari luar klaster, Anda dapat mengedit aturan di grup keamanan terkelola, Anda dapat membuat grup keamanan tambahan dengan aturan tambahan, atau melakukan keduanya.
penting
Mengedit aturan di grup keamanan terkelola mungkin memiliki konsekuensi yang tidak diinginkan. Anda mungkin secara tidak sengaja mem block lalu lintas yang diperlukan untuk klaster berfungsi dengan baik dan menyebabkan kesalahan karena simpul tidak terjangkau. Hati-hati merencanakan dan menguji konfigurasi grup keamanan sebelum implementasi.
Anda dapat menentukan grup keamanan hanya ketika Anda membuat sebuah klaster. Mereka tidak dapat ditambahkan ke klaster atau instans klaster sementara klaster berjalan, tetapi Anda dapat mengedit, menambah, dan menghapus aturan dari grup keamanan yang ada. Aturan ini berlaku segera setelah Anda menyimpannya.
Grup keamanan yang ketat secara default. Kecuali aturan ditambahkan yang mengizinkan lalu lintas, lalu lintas ditolak. Jika ada lebih dari satu aturan yang berlaku untuk lalu lintas yang sama dan sumber yang sama, aturan yang paling permisif akan berlaku. Misalnya, jika Anda memiliki aturan yang mengizinkan SSH dari alamat IP 192.0.2.12/32, dan aturan lain yang mengizinkan akses ke semua lalu lintas TCP dari kisaran 192.0.2.0/24, aturan yang mengizinkan semua lalu lintas TCP dari kisaran yang mencakup 192.0.2.12 diutamakan. Di kasus ini, klien di 192.0.2.12 mungkin memiliki akses lebih dari yang Anda inginkan.
penting
Berhati-hatilah saat Anda mengedit aturan grup keamanan untuk membuka port. Pastikan untuk menambahkan aturan yang hanya mengizinkan lalu lintas dari klien tepercaya dan terautentikasi untuk protokol dan port yang diperlukan untuk menjalankan beban kerja Anda.
Anda dapat mengonfigurasi akses publik blok EMR Amazon di setiap Wilayah yang Anda gunakan untuk mencegah pembuatan klaster jika aturan mengizinkan akses publik pada port apa pun yang tidak Anda tambahkan ke daftar pengecualian. Untuk AWS akun yang dibuat setelah Juli 2019, Amazon EMR memblokir akses publik aktif secara default. Untuk AWS akun yang membuat cluster sebelum Juli 2019, Amazon EMR memblokir akses publik secara default tidak aktif. Untuk informasi selengkapnya, lihat Menggunakan Akses publik blok Amazon EMR.
Topik
catatan
Amazon EMR bertujuan untuk menggunakan alternatif inklusif untuk istilah industri yang berpotensi menyinggung atau non-inklusif seperti “master” dan “slave”. Kami telah beralih ke terminologi baru untuk menumbuhkan pengalaman yang lebih inklusif dan untuk memfasilitasi pemahaman Anda tentang komponen layanan.
Kami sekarang mendeskripsikan “node” sebagai instance, dan kami menjelaskan jenis instans EMR Amazon sebagai instance primer, inti, dan tugas. Selama transisi, Anda mungkin masih menemukan referensi lama ke istilah yang sudah ketinggalan zaman, seperti yang berkaitan dengan grup keamanan untuk Amazon EMR.
