本文介绍在使用SSH远程登录集群和访问开源组件的Web UI页面两个应用场景下,如何配置安全组。

背景信息

安全组提供类似虚拟防火墙功能,用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。创建集群时,您必须选择一个安全组。您还可以添加安全组规则,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。建议按照以下原则配置安全组:
  • 默认拒绝所有端口对外开放,安全组应作为白名单使用。
  • 开放应用出入规则时应遵循最小授权原则。根据应用需求,只开放对应的端口。
注意
  • 设置安全组规则时,一定要限制访问IP范围,不要设置0.0.0.0,避免被攻击。
  • 在添加安全组规则的时候,授权对象只针对当前服务器的公网访问IP地址开放。

    获取您当前服务器公网访问IP地址的方法是,访问ip.taobao.com

SSH远程访问集群

通过SSH远程访问集群时,需要开启集群安全组的22端口。如果您还未创建集群,则可在集群创建过程中直接打开22端口。如果您已创建好了集群,则可在集群安全组中添加规则来打开22端口。
  • 通过安全组添加22端口。
    说明 如果集群所属安全组中缺少打开22端口的规则,则无法通过SSH访问集群,需要通过以下方法添加22端口。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域(Region)和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面的集群列表中,单击对应集群后面的详情
    5. 在集群的详情页面的网络信息区域,单击安全组ID的值。
    6. 单击添加安全组规则,添加22端口,授权对象为您当前服务器的公网访问IP。添加22端口
    7. 单击确定
  • 在创建集群时打开22端口。
    1. 在E-MapReduce控制台创建集群的硬件配置页面,从列表选择集群所属的安全组。

      如果已创建E-MapReduce集群并建立安全组,则可以选用创建好的安全组作为新集群的安全组;如果新建安全组,只需要输入新安全组的名称,则在集群创建好之后会生成以该名称命名的安全组,之后便可以在这个安全组中添加规则,具体信息请参见添加安全组规则

    2. 在创建集群的基础配置页面,开启远程登录,为安全组打开22端口。
      说明 如果安全组中已经打开22端口,或者想在安全组创建好之后手动打开22端口,可以选择不开启远程登录

访问开源组件的Web UI

详情请参见访问链接与端口