本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EMR叢集的安全群組控制網路流量
安全群組充當叢集中EC2執行個體的虛擬防火牆,以控制傳入和傳出流量。每個安全群組都具有一組控管傳入流量的規則,以及另一組控管傳出流量的規則。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Linux 執行個體的 Amazon EC2安全群組。 EC2
您可以將兩種安全群組與 Amazon 搭配使用EMR:Amazon 受EMR管安全群組和其他安全群組 。
每個叢集都有與其相關聯的受管安全群組。您可以使用 Amazon EMR建立的預設受管安全群組,或指定自訂受管安全群組。無論哪種方式,Amazon 都會EMR自動將規則新增至受管安全群組,讓叢集需要在叢集執行個體 AWS 和服務之間進行通訊。
額外的安全群組為選用。您可以在受管的安全群組之外,再指定這些群組,來量身打造對叢集執行個體的存取機制。額外的安全群組只包含您自己定義的規則。Amazon EMR 不會修改它們。
Amazon 在受管安全群組中EMR建立的規則可讓叢集在內部元件之間通訊。若要允許使用者和應用程式從叢集的外部來存取叢集,您可以編輯受管安全群組中的規則、建立包含額外規則的其他安全群組,或是同時執行這兩項動作。
重要
編輯受管安全群組中的規則,可能會有未預期的後果。您可能會在無意中封鎖叢集正常運作所需的流量,而且因為無法連線到節點而造成錯誤。請在建置之前仔細的規劃和測試安全群組組態。
您可以在建立叢集時指定安全群組。當叢集正在執行時,規則無法新增到叢集或叢集執行個體,但您可以針對現有安全群組的規則,進行編輯、新增和移除。規則一旦儲存就會生效。
依預設,安全群組受到限制。除非已新增允許流量的規則,否則流量將會遭到拒絕。如果有一個以上的規則套用到相同的流量和相同的來源,則會套用最寬鬆的規則。例如,如果您的規則允許SSH從 IP 地址 192.0.2.12/32 到另一個規則,允許存取範圍 192.0.2.0/24 的所有TCP流量,則允許範圍包含 192.0.2.12 的所有TCP流量的規則優先。在這種情況中,位於 192.0.2.12 的用戶端,可能有擁有比您預期更多的存取權限。
重要
編輯安全群組規則以開啟連接埠時,請務必小心。對於執行工作負載所需的協定和連接埠,請確保僅允許來自受信任且經過驗證的用戶端的流量。
如果規則允許在您未新增至例外清單的任何連接埠上公開存取,您可以在您使用的每個區域中設定 Amazon EMR封鎖公有存取,以防止叢集建立。對於 2019 年 7 月之後建立 AWS 的帳戶,Amazon EMR封鎖公有存取預設為開啟。對於在 2019 年 7 月之前建立叢集 AWS 的帳戶,Amazon EMR封鎖公有存取預設為關閉。如需詳細資訊,請參閱使用 Amazon EMR區塊公有存取。
主題
注意
Amazon EMR旨在針對潛在冒犯性或非包容性的產業術語使用包容性替代方案,例如「主要」和「從屬」。我們已轉換為新術語,以培養更具包容性的體驗並促進您對服務元件的理解。
我們現在將「節點」描述為執行個體 ,並將 Amazon EMR執行個體類型描述為主要 、核心 和任務執行個體。在轉換期間,您可能仍會找到過時術語的舊參考,例如與 Amazon 安全群組相關的參考EMR。
