Considérations

Lorsque vous personnalisez des images Docker, vous pouvez choisir précisément l'environnement d'exécution de votre tâche de manière détaillée. Suivez ces bonnes pratiques lorsque vous utilisez cette fonctionnalité :

• La sécurité est une responsabilité partagée entre vous AWS et vous. Vous êtes responsable de l'application des correctifs de sécurité aux binaires que vous ajoutez à l'image. Suivez les Bonnes pratiques de sécurité pour Amazon EMR on EKS, en particulier Obtention des dernières mises à jour de sécurité des images personnalisées et Application du principe du moindre privilège.

• Lorsque vous personnalisez une image de base, vous devez modifier l'utilisateur Docker en hadoop:hadoop afin que les tâches ne s'exécutent pas avec l'utilisateur root.

• Amazon EMR on EKS monte les fichiers au-dessus des configurations de l'image, telles que spark-defaults.conf, au moment de l'exécution. Pour remplacer ces fichiers de configuration, nous vous recommandons d'utiliser le paramètre applicationOverrides lors de la soumission de la tâche et de ne pas modifier directement les fichiers de l'image personnalisée.

• Amazon EMR on EKS monte certains dossiers au moment de l'exécution. Les modifications que vous apportez à ces dossiers ne sont pas disponibles dans le conteneur. Si vous souhaitez ajouter une application ou ses dépendances pour les images personnalisées, nous vous recommandons de choisir un répertoire qui ne fait pas partie des chemins prédéfinis suivants :

  • /var/log/fluentd

  • /var/log/spark/user

  • /var/log/spark/apps

  • /mnt

  • /tmp

  • /home/hadoop

• Vous pouvez charger votre image personnalisée dans n'importe quel référentiel compatible avec Docker, tel qu'Amazon ECR, Docker Hub ou un référentiel d'entreprise privé. Pour plus d'informations sur la configuration de l'authentification du cluster Amazon EKS dans le référentiel Docker sélectionné, consultez la rubrique Extraction d'une image à partir d'un registre privé.