EMR 使用腾讯云私有网络(VPC)作为 EMR 底层网络,EMR 中的安全组设置用于控制集群内部节点互相访问和外部节点访问内部节点侧虚拟防火墙。本文档主要介绍 EMR 使用安全组的实践教程,帮助您选择安全组策略。
安全组
安全组是一种有状态的包过滤功能的虚拟防火墙,它用于设置单台或多台云服务器(节点)的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。若没有安全组,创建 EMR 集群时会自动帮您新建一个安全组,若安全组数量已达到上限无法新建,可删除部分不再使用的安全组。若已有安全组,可直接在 私有网络控制台 查看并使用已有的安全组。 使用限制与规则
有关安全组的使用限制及配额,可参见 使用限制总览 中的安全组相关限制。 安全组规则包括如下组成部分:
来源:源数据(入站)或目标数据(出站)的 IP。
协议类型和协议端口:协议类型,如 TCP、UDP 等。
策略:允许或拒绝。
使用 EMR 安全组选择原则
默认选择使用已有安全组,默认选择 EMR 安全组,用户可以选择新建 EMR 安全组或选择非 EMR 安全组。
1. 新创建的 EMR 安全组,将默认开启30002端口及必要的内网通信网段,选择开启远程登录时将开启22端口,新安全组以 emr-xxxxxxxx_yyyyMMdd 命名,请勿手动修改安全组名称。
2. 选择已有安全组作为当前实例的安全组,支持当前地域所有可用安全组。建议优先选择 emr-xxx 开头的安全组,这类安全组已开启 EMR 服务正常运行必要的策略。非 emr 开头的安全组可能会缺少必要的出入站规则,导致集群创建失败或集群不可用,请谨慎选择非 emr 开头安全组。
3. 扩容节点时,安全组默认继承新建集群时选择的安全组策略。
EMR 的安全组策略详情
放通内网(私有网络网段)的入站规则
在新建 EMR 集群时,使用非 EMR 安全组,入站规则必须放通内网网段,否则集群将无法创建。例如,所选择的 VPC 网络网段处于 A 网段,则入站必须选择放通 A 网段。
放通 Ping 服务的入站规则
使用非 EMR 安全组时,如需放通 Ping 服务,入站规则应包含以下策略:
|
0.0.0.0/0 | ICMP | ACCEPT | 本地 ICMP 放开 |
访问 WebUI 的入站规则
使用非 EMR 安全组时,如需正常访问集群服务 WebUI,入站规则应包含以下策略:
放通 Linux SSH 登录的入站规则
使用非 EMR 安全组时,如需使用 Linux SSH 远程登录,入站规则应包含以下策略:
|
0.0.0.0/0 | TCP:22 | ACCEPT | 放开远程登录端口22 |
出站规则