本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用安全群組控制網路流量
安全群組就像是您叢集中 EC2 執行個體的虛擬防火牆,可用來控管傳入及傳出的流量。每個安全群組都具有一組控管傳入流量的規則,以及另一組控管傳出流量的規則。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的適用於 Linux 執行個體的 Amazon EC2 安全群組一節。
您可以將兩種類別的安全群組與 Amazon EMR 搭配使用:Amazon EMR 受管安全群組和額外的安全群組。
每個叢集都有與其相關聯的受管安全群組。您可以使用 Amazon EMR 建立的預設受管安全群組,或指定自訂的受管安全群組。無論哪種方式,Amazon EMR 都會自動將規則新增到受管安全群組,叢集需要在叢集執行個體和 AWS 服務之間進行通訊。
額外的安全群組為選用。您可以在受管的安全群組之外,再指定這些群組,來量身打造對叢集執行個體的存取機制。額外的安全群組只包含您自己定義的規則。Amazon EMR 不會修改這些規則。
Amazon EMR 在受管安全群組中建立的規則,允許叢集在內部元件之間進行通訊。若要允許使用者和應用程式從叢集的外部來存取叢集,您可以編輯受管安全群組中的規則、建立包含額外規則的其他安全群組,或是同時執行這兩項動作。
重要
編輯受管安全群組中的規則,可能會有未預期的後果。您可能會在無意中封鎖叢集正常運作所需的流量,而且因為無法連線到節點而造成錯誤。請在建置之前仔細的規劃和測試安全群組組態。
您可以在建立叢集時指定安全群組。當叢集正在執行時,規則無法新增到叢集或叢集執行個體,但您可以針對現有安全群組的規則,進行編輯、新增和移除。規則一旦儲存就會生效。
依預設,安全群組受到限制。除非已新增允許流量的規則,否則流量將會遭到拒絕。如果有一個以上的規則套用到相同的流量和相同的來源,則會套用最寬鬆的規則。例如,如果您的規則可允許從 IP 地址 192.0.2.12/32 進行 SSH 連線,而另一個規則允許從 192.0.2.0/24 的範圍存取所有的 TCP 流量,則允許從包含 192.0.2.12 的地址範圍,來存取所有 TCP 流量的規則,將會具有優先性。在這種情況中,位於 192.0.2.12 的用戶端,可能有擁有比您預期更多的存取權限。
重要
編輯安全群組規則以開啟連接埠時,請務必小心。對於執行工作負載所需的協定和連接埠,請確保僅允許來自受信任且經過驗證的用戶端的流量。
如果規則允許任何您未新增到例外清單連接埠上的公開存取,則您可以在每個區域中設定 Amazon EMR 封鎖公開存取,以防止建立叢集。對於 2019 年 7 月之後建立的 AWS 帳戶,預設情況下,Amazon EMR 區塊公開存取處於開啟狀態。對於在 2019 年 7 月之前建立叢集的 AWS 帳戶,預設情況下,Amazon EMR 區塊公用存取處於關閉狀態。如需詳細資訊,請參閱 使用 Amazon EMR 封鎖公開存取。
主題
注意
Amazon EMR 旨在為可能具有冒犯性或非包容性的產業術語 [例如 "master" (主) 和 "slave" (從屬)] 使用包容性替代術語。我們已轉換為新術語,以培養更具包容性的體驗並促進您對服務元件的理解。
現在,我們將「節點」描述為執行個體,將 Amazon EMR 執行個體類型描述為主要、核心和任務執行個體。在轉換期間,您可能仍然會發現對過時術語的舊參考,例如與 Amazon EMR 安全群組相關的術語。
