安全组用于设置集群内ECS实例的网络访问控制,是重要的安全隔离手段。本文为您介绍如何添加安全组及安全组规则。
背景信息
您在创建E-MapReduce集群时,可以使用已有的安全组或者新建安全组,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。您可以将ECS实例按照功能划分,放于不同的安全组中。例如,通过E-MapReduce创建的安全组为E-MapReduce安全组,而您已有的安全组为用户安全组,每个安全组按照不同的需要设置不同的访问控制策略。
新建安全组详情,请参见创建安全组。
使用限制
- 经典网络类型下,实例必须加入同一地域下经典网络类型的安全组。
- 专有网络类型下,实例必须加入同一专有网络下的安全组。
注意事项
- 添加安全组规则时,一定要限制访问IP地址范围,且不要使用0.0.0.0/0,避免被攻击。
- 添加安全组规则时,开放应用出入规则应遵循最小授权原则,授权对象只针对当前服务器的公网访问IP地址开放。您可以通过访问IP地址,获取当前服务器的公网访问IP地址。
- 禁止使用在ECS上创建的企业安全组。
添加安全组
- 进入节点管理页面。
- 登录EMR on ECS控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 在集群管理页面,单击目标集群所在行的节点管理。
- 进入安全组列表页面。
- 在节点管理页面,单击机器组前面的图标。
- 单击ECS实例的ECS ID。
- 在该ECS实例页面,单击上方的安全组页签。
- 在安全组列表页面,单击加入安全组。
- 在ECS实例加入安全组对话框中,从安全组列表中选择需要加入的安全组。
如果您需要将该ECS实例一次加入多个安全组,选择一个安全组后,单击后面的加入到批量选择栏,即会把该安全组加入到批量选择栏中,依次按照相同方法再选择其他安全组,把其他安全组也加入到批量选择栏中即可。
- 单击确定。
请重复
步骤2~
步骤4操作,直至把E-MapReduce集群中的其他ECS实例也加入到相应安全组中。
添加安全组规则
- 获取机器的公网访问IP地址。
为了安全地访问集群组件,在设置安全组策略时,推荐您只针对当前的公网访问IP地址开放。您可以通过访问
IP地址,获取当前服务器的公网访问IP地址。
- 进入安全组页面。
- 登录EMR on ECS控制台。
- 在顶部菜单栏处,根据实际情况选择地域和资源组。
- 在集群管理页面,单击目标集群的集群ID。
- 在基础信息页面,单击集群安全组后面的链接。
- 在安全组规则页面,单击手动添加,填写安全组策略。
填写
端口范围和
授权对象,其余参数保持默认。详情请参见
添加安全组规则。
参数 |
说明 |
端口范围 |
填写允许访问该ECS实例的端口。 |
授权对象 |
填写步骤1中获取的公网访问IP地址。
重要 为防止被外部的用户攻击导致安全问题,授权对象禁止填写为0.0.0.0/0。
|
- 单击保存。