本节介绍在SSH远程登录集群和访问开源组件的Web UI页面两个应用场景下,如何配置安全组。

背景信息

安全组提供类似虚拟防火墙功能,用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。创建集群时,您必须选择一个安全组。您还可以添加安全组规则,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。我们建议按照以下原则实践安全组:

  • 默认拒绝所有的端口对外开放,安全组应作为白名单使用。
  • 开放应用出入规则时应遵循最小授权原则。根据应用需求,只开放对应的端口。
注意
  • 设置安全组规则时,一定要限制访问 IP 范围,不要设置 0.0.0.0,避免被攻击。
  • 我们推荐在添加安全组规则的时候,授权对象只针对当前的公网访问IP来开放。要获得当前的访问,请访问 http://ip.taobao.com/,在左下角会显示您当前的公网访问IP。

SSH远程访问集群

通过SSH远程访问集群,需要打开集群安全组的22端口。如果您还未创建集群,则可在集群创建过程中直接打开22端口。如果您已创建好了集群,则可在集群安全组中添加规则来打开22端口。

  • 在创建集群时打开22端口。
    1. 在创建集群的硬件配置页面,需要对集群进行网络配置,从列表选择集群所属的安全组。

      如果已创建过E-MapReduce集群并建立安全组,则可以选用创建好的安全组作为新集群的安全组;如果新建安全组,只需要输入新安全组的名称,则在集群创建好之后会生成以该名称命名的安全组,之后便可以在这个安全组中添加规则,具体信息可参见添加安全组规则

    2. 在创建集群的基础配置页面,开启远程登录,为安全组打开22端口。
      说明 如果安全组中已经打开22端口,或者想在安全组创建好之后手动打开22端口,可以选择不开启远程登录
  • 通过安全组添加22端口。
    说明 如果集群所属安全组中缺少打开22端口的规则,则无法通过SSH访问集群,需要通过以下方法添加22端口。
    1. 登录阿里云 E-MapReduce 控制台
    2. 单击上方的集群管理页签。
    3. 集群管理页面的集群列表中,单击对应集群后面的详情
    4. 在集群的详情页面的网络信息区域,单击集群所在的安全组ID。
    5. 单击添加安全组规则,添加22端口,授权对象为您当前的公网访问IP。添加22端口
    6. 单击确定

访问开源组件的Web UI

具体请参见访问链接与端口