本指南将详细介绍E-HPC产品服务依赖的安全组规则、WorkBench组件依赖的安全组规则以及托管安全组的规则。
E-HPC产品服务依赖的安全组规则
E-HPC产品依赖于多个网络端口和服务,以实现其核心功能。以下是一些关键的安全组规则,请根据实际需求进行配置。
服务 | 端口/协议 | 描述 | 安全建议 | |
SSH | 22/TCP | 允许用户通过SSH协议远程访问E-HPC实例。 | 仅允许特定IP地址或CIDR范围访问,以增强安全性。 | |
NFS |
| 支持网络文件系统,用于数据共享。 | 限制访问源,仅允许内部网络或受信任的外部网络访问。 | |
HPC调度器 | Slurm | 6817-6819/TCP | 用于集群管理和任务调度。 | 确保这些端口仅对集群内的节点开放。 |
PBS |
| 用于与PBS服务器通信,管理作业队列。 | 确保上述端口仅在集群内部开放,避免暴露到公网。 | |
监控和日志 (例如Prometheus, Fluentd) |
| 用于收集和分析系统性能数据。 | 仅允许监控服务器访问这些端口。 | |
Web Portal | 12011/TCP | 用于日常管理作业的Web门户,支持作业提交和查询、数据管理等功能。 | 确保集群所属的安全组已放行入方向的端口。 | |
WorkBench依赖的安全组规则
Workbench是阿里云提供的在浏览器使用的远程连接工具,使用该工具,您无需额外安装任何软件即可通过浏览器直接访问ECS实例。更多内容,请参见Workbench相关安全组设置。
以下是WorkBench组件所需的安全组规则:
服务 | 端口/协议 | 描述 | 安全建议 |
RDP (Windows) | 3389 | 远程桌面协议,用于远程访问和控制Windows系统。 | 仅允许需要远程访问权限的用户,并定期审查这些权限以确保它们仍然必要。 |
Jupyter Notebook | 8888/TCP | 用于交互式数据分析和可视化。 | 仅允许特定IP地址或CIDR范围访问,以防止未经授权的访问。 |
VS Code Server | 3000/TCP | 用于远程代码编辑和开发。 | 限制访问源,仅允许内部网络或受信任的外部网络访问。 |
Git | 22/TCP | 用于版本控制和代码仓库管理。 | 确保这些端口仅对授权用户开放,以保护代码的安全性。 |
Docker | 2375/TCP 2376/TCP | 用于容器化应用的管理和部署。 | 仅允许内部网络访问这些端口,以防止潜在的安全风险。 |
相关文档
如果您想对安全组规则进行添加、修改、查询、删除和导入导出操作。更多内容,请参见管理安全组规则。