Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo del traffico di rete con gruppi di sicurezza
I gruppi di sicurezza agiscono da firewall virtuale per le istanze EC2 nel cluster allo scopo di controllare il traffico in entrata e quello in uscita. Ogni gruppo di sicurezza ha un set di regole che controlla il traffico in entrata verso le istanze e un set di regole per controllare il traffico in uscita. Per ulteriori informazioni, consulta Gruppi di sicurezza Amazon EC2 per le istanze Linux nella Guida per l'utente di Amazon EC2 per le istanze Linux.
È possibile utilizzare due classi di gruppi di sicurezza con Amazon EMR: gruppi di sicurezza gestiti da Amazon EMR e gruppi di sicurezza aggiuntivi.
A ogni cluster sono associati gruppi di sicurezza gestiti. È possibile utilizzare i gruppi di sicurezza gestiti predefiniti creati da Amazon EMR oppure specificare gruppi di sicurezza gestiti personalizzati. In entrambi i casi, Amazon EMR aggiunge automaticamente regole per i gruppi di sicurezza gestiti che un cluster deve utilizzare per comunicare tra istanze del cluster e servizi AWS.
I gruppi di sicurezza aggiuntivi sono facoltativi. È possibile specificarli in aggiunta ai gruppi di sicurezza gestiti per definire l'accesso alle istanze del cluster. Altri gruppi di sicurezza contengono solo regole definite. Amazon EMR non li modifica.
Le regole che Amazon EMR crea nei gruppi di sicurezza gestiti consentono al cluster di comunicare tra i componenti interni. Per consentire agli utenti e alle applicazioni di accedere a un cluster dall'esterno del cluster, è possibile modificare le regole per i gruppi di sicurezza gestiti oppure è possibile creare ulteriori gruppi di sicurezza con regole aggiuntive o entrambe le cose.
Importante
Modificare le regole per i gruppi di sicurezza gestiti può avere conseguenze impreviste. Potresti inavvertitamente bloccare il traffico necessario per il corretto funzionamento dei cluster e causare errori in quanto i nodi non sono raggiungibili. Pianifica attentamente e verifica le configurazioni per i gruppi di sicurezza prima dell'implementazione.
Puoi, quindi, specificare i gruppi di sicurezza solo al momento della creazione di un cluster. Essi non possono essere aggiunti a un cluster o alle istanze del cluster mentre il cluster è in esecuzione, ma è possibile modificare, aggiungere o rimuovere regole dai gruppi di sicurezza esistenti. Le regole diventano effettive non appena vengono salvate.
Per impostazione predefinita, i gruppi di sicurezza sono restrittivi Se non si aggiunge una regola che consente il traffico, il traffico viene rifiutato. Se è presente più di una regola che si applica allo stesso traffico e alla stessa origine, viene applicata la regola più permissiva. Ad esempio, se si dispone di una regola che consente SSH dall'indirizzo IP 192.0.2.12/32 e un'altra regola che consente l'accesso a tutto il traffico TCP dall'intervallo 192.0.2.0/24, ha precedenza la regola che consente tutto il traffico TCP dall'intervallo che include 192.0.2.12. In questo caso, il client all'intervallo 192.0.2.12 può avere più accesso di quanto si desideri.
Importante
Presta attenzione quando modifichi le regole per i gruppi di sicurezza per aprire le porte. Assicurati di aggiungere regole che permettano solo il traffico da client affidabili e autenticati per i protocolli e le porte necessari per eseguire i tuoi carichi di lavoro.
Puoi configurare Amazon EMRbloccare l'accesso pubblicoin ogni regione che utilizzi per impedire la creazione di cluster se una regola consente l'accesso pubblico su qualsiasi porta che non aggiungi a un elenco di eccezioni. Per gli account AWS creati dopo luglio 2019, il blocco degli accessi pubblici per Amazon EMR è attivato per impostazione predefinita. Per gli account AWS che hanno creato un cluster prima di luglio 2019, il blocco degli accessi pubblici per Amazon EMR è disattivato per impostazione predefinita. Per ulteriori informazioni, consulta Utilizzo del blocco dell'accesso pubblico di Amazon EMR.
Argomenti
Nota
Amazon EMR mira a utilizzare alternative inclusive per termini di settore potenzialmente offensivi o non inclusivi come «master» e «slave». Siamo passati a una nuova terminologia per promuovere un'esperienza più inclusiva e facilitare la comprensione dei componenti del servizio.
Ora descriviamo i «nodi» comecasie descriviamo i tipi di istanze Amazon EMR comedi base,centro, ecompitocasi. Durante la transizione, potresti ancora trovare riferimenti obsoleti a termini obsoleti, come quelli relativi ai gruppi di sicurezza per Amazon EMR.
