本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連線之前:授權傳入流量
連線到 Amazon EMR 叢集之前,您必須先授權來自受信任用戶端 (例如電腦 IP 位址) 的入站SSH流量 (連接埠 22)。因此,請針對您要連接的節點編輯受管安全群組規則。例如,下列指示說明如何新增輸入規則,以SSH存取預設 ElasticMapReduce-master 安全性群組。
如需將安全群組與 Amazon 搭配使用的詳細資訊EMR,請參閱使用安全群組控制網路流量。
- New console
-
使用新主控台授與主要安全性群組的受信任來源SSH存取權
若要編輯安全性群組,您必須擁有管理叢集所在VPC之安全群組的權限。如需詳細資訊,請參閱《使用指南》中的變更使用者的權限和允許管理EC2安全性群組的IAM範例原則。
-
登錄到 AWS Management Console, 並打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr
. -
EC2在左側導覽窗格的 [開EMR啟] 下,選擇 [叢集],然後選擇您要更新的叢集。這會開啟叢集詳細資訊頁面。將預先選取此頁面上的屬性索引標籤。
-
在 [內容] 索引標籤中的 [網路功能] 下,選取EC2安全性群組 (防火牆) 旁邊的箭頭以展開此區段。在主節點下,選取安全群組連結。這會開啟 EC2 主控台。
-
選擇傳入規則索引標籤,然後選擇 編輯傳入規則。
-
使用下列設定,檢查允許公有存取的傳入規則。如果存在,請選擇刪除將其移除。
-
類型
SSH
-
連接埠
22
-
來源
自訂 0.0.0.0/0
警告
在 2020 年 12 月之前, ElasticMapReduce-master 安全性群組已預先設定規則,允許來自所有來源的連接埠 22 上的輸入流量。建立此規則是為了簡化與主要節點的初始SSH連線。強烈建議您移除此傳入規則,並限制信任來源的流量。
-
-
捲動至規則列表底部並選擇新增規則。
-
選取做為「類型」SSH。此選項會自動輸入 TCP[通訊協定] 和 [連接埠範圍] 為 22。
-
對於來源,請選取我的 IP,自動將您的 IP 地址新增為來源位址。也可新增一系列自訂受信任用戶端 IP 地址,或為其他用戶端建立額外的規則。許多網路環境會動態分配 IP 地址,因此您將來可能需要更新受信任用戶端的 IP 地址。
-
選擇儲存。
-
或者返回步驟 3,選擇核心節點和任務節點,然後重複步驟 4 - 8。這會授予核心和工作節點SSH用戶端存取權。
-
- Old console
-
使用主控台授與主要安全性群組的信任來源SSH存取權
若要編輯安全性群組,您必須擁有管理叢集所在VPC之安全群組的權限。如需詳細資訊,請參閱《使用指南》中的變更使用者的權限和允許管理EC2安全性群組的IAM範例原則。
登錄到 AWS Management Console, 並打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr
. 選擇 Clusters (叢集)。選擇您要修改的叢集 ID。
在 [網路和安全性] 窗格中,展開EC2安全性群組 (防火牆) 下拉式清單。
在 [主要節點] 下,選擇您的安全性群組。
選擇 Edit inbound Rules (編輯傳入規則)。
使用下列設定,檢查允許公有存取的傳入規則。如果存在,請選擇刪除將其移除。
-
類型
SSH
-
連接埠
22
-
來源
自訂 0.0.0.0/0
警告
在 2020 年 12 月之前,有一項預先設定的規則允許來自所有來源的連接埠 22 上的輸入流量。建立此規則是為了簡化與主要節點的初始SSH連線。強烈建議您移除此傳入規則,並限制信任來源的流量。
-
捲動至規則列表底部並選擇新增規則。
-
選取做為「類型」SSH。
選取SSH會自動輸入TCP通訊協定,選取 22 做為連接埠範圍。
-
對於來源,請選取我的 IP,自動將您的 IP 地址新增為來源位址。也可新增一系列自訂受信任用戶端 IP 地址,或為其他用戶端建立額外的規則。許多網路環境會動態分配 IP 地址,因此您將來可能需要更新受信任用戶端的 IP 地址。
選擇儲存。
選擇性地在 [網路和安全性] 窗格的 [核心] 和 [工作] 節點下選擇其他安全性群組,然後重複上述步驟,允許SSH用戶端存取核心和工作節點。