安全組用于設置集群內ECS實例的網絡訪問控制,是重要的安全隔離手段。本文為您介紹如何添加安全組及安全組規則。
背景信息
您在創建E-MapReduce集群時,可以使用已有的安全組或者新建安全組,對某個安全組下的所有ECS實例的出方向和入方向進行網絡控制。您可以將ECS實例按照功能劃分,放于不同的安全組中。例如,通過E-MapReduce創建的安全組為E-MapReduce安全組,而您已有的安全組為用戶安全組,每個安全組按照不同的需要設置不同的訪問控制策略。
新建安全組詳情,請參見創建安全組。
使用限制
經典網絡類型下,實例必須加入同一地域下經典網絡類型的安全組。
專有網絡類型下,實例必須加入同一專有網絡下的安全組。
注意事項
添加安全組規則時,一定要限制訪問IP地址范圍,且不要使用0.0.0.0/0,避免被攻擊。
添加安全組規則時,開放應用出入規則應遵循最小授權原則,授權對象只針對當前服務器的公網訪問IP地址開放。您可以通過訪問IP地址,獲取當前服務器的公網訪問IP地址。
禁止使用在ECS上創建的企業安全組。
EMR服務通過VIP網段為EMR集群提供管控服務,請勿在集群安全組中拒絕100.64.0.0/10網段和OSS服務的內網VIP網段(詳見OSS內網域名與VIP網段對照表)訪問。
因您使用不當的安全組策略導致網絡無法連通,EMR服務無法正常工作所引起的損失和后果均由您自行承擔。
配置EMR集群安全組規則時,必須確保集群內所有ECS實例間內網互通,否則將影響EMR集群大數據服務。
添加安全組
進入節點管理頁面。
在頂部菜單欄處,根據實際情況選擇地域和資源組。
在集群管理頁面,單擊目標集群所在行的節點管理。
進入安全組列表頁面。
在節點管理頁面,單擊機器組前面的圖標。
單擊ECS實例的ECS ID。
在該ECS實例頁面,單擊上方的安全組頁簽。
在安全組列表頁面,單擊加入安全組。
在ECS實例加入安全組對話框中,從安全組列表中選擇需要加入的安全組。
如果您需要將該ECS實例一次加入多個安全組,選擇一個安全組后,單擊后面的加入到批量選擇欄,即會把該安全組加入到批量選擇欄中,依次按照相同方法再選擇其他安全組,把其他安全組也加入到批量選擇欄中即可。
單擊確定。
添加安全組規則
獲取機器的公網訪問IP地址。
為了安全地訪問集群組件,在設置安全組策略時,推薦您只針對當前的公網訪問IP地址開放。您可以通過訪問IP地址,獲取當前服務器的公網訪問IP地址。
進入安全組頁面。
在頂部菜單欄處,根據實際情況選擇地域和資源組。
在集群管理頁面,單擊目標集群的集群ID。
在基礎信息頁面,單擊集群安全組后面的鏈接。
在安全組規則頁面,單擊手動添加,填寫安全組策略。
單擊保存。