安全组用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。本文为您介绍如何添加安全组及其安全组规则。

背景信息

创建集群时,您必须选择或新建一个安全组,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。

您可以将ECS实例按照功能划分,放于不同的安全组中。例如,通过E-MapReduce创建的安全组为E-MapReduce安全组,而您已有的安全组为用户安全组,每个安全组按照不同的需要设置不同的访问控制策略。

注意事项

  • 设置安全组规则时,一定要限制访问IP范围,不要设置0.0.0.0,避免被攻击。
  • 在添加安全组规则的时候,开放应用出入规则时应遵循最小授权原则,授权对象只针对当前服务器的公网访问IP地址开放。

    您可以通过访问IP地址,获取当前服务器的公网访问IP地址。

创建安全组

您在创建E-MapReduce集群时,可以新建安全组或者使用已有的安全组。创建E-MapReduce集群时,集群所在安全组的22端口默认是关闭的,在创建集群过程中,您可以通过打开基础配置页面的远程登录开关来启用22端口。
注意 禁止使用ECS上创建的企业安全组。

添加安全组

说明
  • 经典网络类型下,实例必须加入同一地域下经典网络类型的安全组。
  • 专有网络类型下,实例必须加入同一专有网络下的安全组。
  1. 进入集群详情页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
  2. 主机信息区域选择实例组,单击对应右侧某个ECS实例的ECS ID
  3. 在该ECS实例页面,单击安全组页签。
  4. 安全组列表页面,单击加入安全组
    在弹出的ECS实例加入安全组对话框中,从安全组列表中选择需要加入的安全组。

    如果您需要将该ECS实例一次加入多个安全组,选择一个安全组后,单击后面的加入到批量选择栏,即会把该安全组加入到批量选择栏中,依次按照相同方法再选择其他安全组,把其他安全组也加入到批量选择栏中即可。

  5. 单击确定
    请重复步骤2~步骤5操作,直至把E-MapReduce集群中的其他ECS实例也加入到相应安全组中。

添加安全组规则

  1. 获取机器的公网访问IP地址。
    为了安全的访问集群组件,在设置安全组策略时,推荐您只针对当前的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。
  2. 进入EMR的详情页面。
    1. 登录阿里云E-MapReduce控制台
    2. 在顶部菜单栏处,根据实际情况选择地域和资源组
    3. 单击上方的集群管理页签。
    4. 集群管理页面,单击相应集群所在行的详情
    5. 集群基础信息页面的网络信息区域,单击安全组ID链接。
  3. 安全组规则页面,增加安全组策略。
    1. 安全组规则入方向页面,单击手动添加
    2. 填写端口范围
    3. 授权对象填写步骤1中获取的公网访问IP地址。
      注意 为防止被外部的用户攻击导致安全问题,授权对象禁止填写为0.0.0.0/0
    4. 单击保存
      安全组规则详情请参见添加安全组规则