連線之前:授權傳入流量 - Amazon EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連線之前:授權傳入流量

連線到 Amazon EMR 叢集之前,您必須先授權來自受信任用戶端 (例如電腦 IP 位址) 的入站SSH流量 (連接埠 22)。因此,請針對您要連接的節點編輯受管安全群組規則。例如,下列指示說明如何新增輸入規則,以SSH存取預設 ElasticMapReduce-master 安全性群組。

如需將安全群組與 Amazon 搭配使用的詳細資訊EMR,請參閱使用安全群組控制網路流量

New console
使用新主控台授與主要安全性群組的受信任來源SSH存取權

若要編輯安全性群組,您必須擁有管理叢集所在VPC之安全群組的權限。如需詳細資訊,請參閱《使指南》中的變更使用者的權限和允許管理EC2安全性群組的IAM範例原則

  1. 登錄到 AWS Management Console, 並打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr.

  2. EC2在左側導覽窗格的 [開EMR啟] 下,選擇 [叢集],然後選擇您要更新的叢集。這會開啟叢集詳細資訊頁面。將預先選取此頁面上的屬性索引標籤。

  3. 在 [內容] 索引標籤中的 [網路功能] 下,選取EC2安全性群組 (防火牆) 旁邊的箭頭以展開此區段。在主節點下,選取安全群組連結。這會開啟 EC2 主控台。

  4. 選擇傳入規則索引標籤,然後選擇 編輯傳入規則

  5. 使用下列設定,檢查允許公有存取的傳入規則。如果存在,請選擇刪除將其移除。

    • 類型

      SSH

    • 連接埠

      22

    • 來源

      自訂 0.0.0.0/0

    警告

    在 2020 年 12 月之前, ElasticMapReduce-master 安全性群組已預先設定規則,允許來自所有來源的連接埠 22 上的輸入流量。建立此規則是為了簡化與主要節點的初始SSH連線。強烈建議您移除此傳入規則,並限制信任來源的流量。

  6. 捲動至規則列表底部並選擇新增規則

  7. 選取做為「類型SSH。此選項會自動輸入 TCP[通訊協定] 和 [連接埠範圍] 為 22

  8. 對於來源,請選取我的 IP,自動將您的 IP 地址新增為來源位址。也可新增一系列自訂受信任用戶端 IP 地址,或為其他用戶端建立額外的規則。許多網路環境會動態分配 IP 地址,因此您將來可能需要更新受信任用戶端的 IP 地址。

  9. 選擇儲存

  10. 或者返回步驟 3,選擇核心節點和任務節點,然後重複步驟 4 - 8。這會授予核心和工作節點SSH用戶端存取權。

Old console
使用主控台授與主要安全性群組的信任來源SSH存取權

若要編輯安全性群組,您必須擁有管理叢集所在VPC之安全群組的權限。如需詳細資訊,請參閱《使指南》中的變更使用者的權限和允許管理EC2安全性群組的IAM範例原則

  1. 登錄到 AWS Management Console, 並打開 Amazon EMR 控制台 https://console.aws.amazon.com/emr.

  2. 選擇 Clusters (叢集)。選擇您要修改的叢集 ID

  3. 在 [網路和安全性] 窗格中,展開EC2安全性群組 (防火牆) 下拉式清單。

  4. 在 [主要節點] 下,選擇您的安全性群組。

  5. 選擇 Edit inbound Rules (編輯傳入規則)。

  6. 使用下列設定,檢查允許公有存取的傳入規則。如果存在,請選擇刪除將其移除。

    • 類型

      SSH

    • 連接埠

      22

    • 來源

      自訂 0.0.0.0/0

    警告

    在 2020 年 12 月之前,有一項預先設定的規則允許來自所有來源的連接埠 22 上的輸入流量。建立此規則是為了簡化與主要節點的初始SSH連線。強烈建議您移除此傳入規則,並限制信任來源的流量。

  7. 捲動至規則列表底部並選擇新增規則

  8. 選取做為「類型SSH

    選取SSH會自動輸入TCP通訊協定,選取 22 做為連接埠範圍

  9. 對於來源,請選取我的 IP,自動將您的 IP 地址新增為來源位址。也可新增一系列自訂受信任用戶端 IP 地址,或為其他用戶端建立額外的規則。許多網路環境會動態分配 IP 地址,因此您將來可能需要更新受信任用戶端的 IP 地址。

  10. 選擇儲存

  11. 選擇性地在 [網路和安全性] 窗格的 [核心] 和 [工作] 節點下選擇其他安全性群組,然後重複上述步驟,允許SSH用戶端存取核心和工作節點。