安全组用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。本文为您介绍如何添加安全组及安全组规则。

背景信息

您在创建E-MapReduce集群时,可以使用已有的安全组或者新建安全组,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。您可以将ECS实例按照功能划分,放于不同的安全组中。例如,通过E-MapReduce创建的安全组为E-MapReduce安全组,而您已有的安全组为用户安全组,每个安全组按照不同的需要设置不同的访问控制策略。

新建安全组详情,请参见创建安全组

使用限制

  • 经典网络类型下,实例必须加入同一地域下经典网络类型的安全组。
  • 专有网络类型下,实例必须加入同一专有网络下的安全组。

注意事项

  • 添加安全组规则时,一定要限制访问IP地址范围,且不要使用0.0.0.0/0,避免被攻击。
  • 添加安全组规则时,开放应用出入规则应遵循最小授权原则,授权对象只针对当前服务器的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。
  • 禁止使用在ECS上创建的企业安全组。

添加安全组

  1. 进入节点管理页面。
    1. 登录EMR on ECS控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 集群管理页面,单击目标集群所在行的节点管理
  2. 进入安全组列表页面。
    1. 节点管理页面,单击机器组前面的add图标。
    2. 单击ECS实例的ECS ID。
    3. 在该ECS实例页面,单击上方的安全组页签。
  3. 安全组列表页面,单击加入安全组
  4. ECS实例加入安全组对话框中,从安全组列表中选择需要加入的安全组。
    如果您需要将该ECS实例一次加入多个安全组,选择一个安全组后,单击后面的加入到批量选择栏,即会把该安全组加入到批量选择栏中,依次按照相同方法再选择其他安全组,把其他安全组也加入到批量选择栏中即可。
  5. 单击确定
    请重复步骤2~步骤4操作,直至把E-MapReduce集群中的其他ECS实例也加入到相应安全组中。

添加安全组规则

  1. 获取机器的公网访问IP地址。
    为了安全地访问集群组件,在设置安全组策略时,推荐您只针对当前的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。
  2. 进入安全组页面。
    1. 登录EMR on ECS控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 集群管理页面,单击目标集群的集群ID。
    4. 基础信息页面,单击集群安全组后面的链接。
  3. 安全组规则页面,单击手动添加,填写安全组策略。
    填写端口范围授权对象,其余参数保持默认。详情请参见添加安全组规则
    参数 说明
    端口范围 填写允许访问该ECS实例的端口。
    授权对象 填写步骤1中获取的公网访问IP地址。
    重要 为防止被外部的用户攻击导致安全问题,授权对象禁止填写为0.0.0.0/0
  4. 单击保存