管理安全组

安全组用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。本文为您介绍如何添加安全组及安全组规则。

背景信息

您在创建E-MapReduce集群时,可以使用已有的安全组或者新建安全组,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。您可以将ECS实例按照功能划分,放于不同的安全组中。例如,通过E-MapReduce创建的安全组为E-MapReduce安全组,而您已有的安全组为用户安全组,每个安全组按照不同的需要设置不同的访问控制策略。

新建安全组详情,请参见创建安全组

使用限制

  • 经典网络类型下,实例必须加入同一地域下经典网络类型的安全组。

  • 专有网络类型下,实例必须加入同一专有网络下的安全组。

注意事项

  • 添加安全组规则时,一定要限制访问IP地址范围,且不要使用0.0.0.0/0,避免被攻击。

  • 添加安全组规则时,开放应用出入规则应遵循最小授权原则,授权对象只针对当前服务器的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。

  • 禁止使用在ECS上创建的企业安全组。

  • EMR服务通过VIP网段为EMR集群提供管控服务,请勿在集群安全组中拒绝100.64.0.0/10网段和OSS服务的内网VIP网段(详见OSS内网域名与VIP网段对照表)访问。

    因您使用不当的安全组策略导致网络无法连通,EMR服务无法正常工作所引起的损失和后果均由您自行承担。

  • 配置EMR集群安全组规则时,必须确保集群内所有ECS实例间内网互通,否则将影响EMR集群大数据服务。

添加安全组

  1. 进入节点管理页面。

    1. 登录E-MapReduce控制台

    2. 在顶部菜单栏处,根据实际情况选择地域和资源组

    3. 集群管理页面,单击目标集群所在行的节点管理

  2. 进入安全组列表页面。

    1. 节点管理页面,单击机器组前面的add图标。

    2. 单击ECS实例的ECS ID。

    3. 在该ECS实例页面,单击上方的安全组页签。

  3. 安全组列表页面,单击加入安全组

  4. ECS实例加入安全组对话框中,从安全组列表中选择需要加入的安全组。

    如果您需要将该ECS实例一次加入多个安全组,选择一个安全组后,单击后面的加入到批量选择栏,即会把该安全组加入到批量选择栏中,依次按照相同方法再选择其他安全组,把其他安全组也加入到批量选择栏中即可。

  5. 单击确定

    请重复步骤2~步骤4操作,直至把E-MapReduce集群中的其他ECS实例也加入到相应安全组中。

添加安全组规则

  1. 获取机器的公网访问IP地址。

    为了安全地访问集群组件,在设置安全组策略时,推荐您只针对当前的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。

  2. 进入安全组页面。

    1. 登录E-MapReduce控制台

    2. 在顶部菜单栏处,根据实际情况选择地域和资源组

    3. 集群管理页面,单击目标集群的集群ID。

    4. 基础信息页面,单击集群安全组后面的链接。

  3. 安全组规则页面,单击手动添加,填写安全组策略。

    填写端口范围授权对象,其余参数保持默认。详情请参见添加安全组规则

    参数

    说明

    端口范围

    填写允许访问该ECS实例的端口。

    授权对象

    填写步骤1中获取的公网访问IP地址。

    重要

    为防止被外部的用户攻击导致安全问题,授权对象禁止填写为0.0.0.0/0

  4. 单击保存