tencent cloud

PrevNext

文档反馈

请输入关键字

Recent Pages

文档
弹性 MapReduce
    文档
    Download PDF

    安全组设置

    最后更新时间:2024-01-10 10:02:36
    下载PDF
      EMR 使用腾讯云私有网络(VPC)作为 EMR 底层网络,EMR 中的安全组设置用于控制集群内部节点互相访问和外部节点访问内部节点侧虚拟防火墙。本文档主要介绍 EMR 使用安全组的最佳实践,帮助大家选择安全组策略。

      安全组

      安全组是一种有状态的包过滤功能的虚拟防火墙,它用于设置单台或多台云服务器(节点)的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。若没有安全组,创建 EMR 集群时会自动帮您新建一个安全组,若安全组数量已达到上限无法新建,可删除部分不再使用的安全组。若已有安全组,可直接在 私有网络控制台 查看并使用已有的安全组。

      使用限制与规则

      有关安全组的使用限制及配额,可参见 使用限制总览 中的安全组相关限制。
      安全组规则包括如下组成部分:
      来源:源数据(入站)或目标数据(出站)的 IP。
      协议类型和协议端口,协议类型如 TCP、UDP 等。
      策略:允许或拒绝。

      使用 EMR 安全组选择原则

      默认选择使用已有安全组,默认选择 EMR 安全组,用户可以选择新建 EMR 安全组或选择非 EMR 安全组。
      1. 新创建的 EMR 安全组,将开启22和30001端口及必要的内网通信网段,新安全组以 emr-xxxxxxxx_yyyyMMdd 命名,请勿手动修改安全组名称。
      2. 选择已有安全组作为当前实例的安全组,支持当前地域所有可用安全组。建议优先选择 emr-xxx 开头的安全组,这类安全组已开启 EMR 服务正常运行必要的策略。非 emr 开头的安全组可能会缺少必要的出入站规则,导致集群创建失败或集群不可用,请谨慎选择非 emr 开头安全组。
      3. 扩容节点时,安全组默认集成新建集群时选择的安全组策略。

      EMR 的安全组策略详情

      在新建 EMR 集群时,使用非 EMR 安全组,出入站必须包含以下规则,否则集群将无法创建。

      入站规则

      来源
      协议端口
      策略
      备注
      10.0.0.0/8
      ALL
      ACCEPT
      A 网段放开
      172.16.0.0/12
      ALL
      ACCEPT
      B 网段放开
      192.168.0.0/16
      ALL
      ACCEPT
      C 网段放开
      0.0.0.0/0
      ICMP
      ACCEPT
      本地 ICMP 放开

      出站规则

      来源
      协议端口
      策略
      备注
      0.0.0.0/0
      ALL
      ACCEPT
      出站放开所有

      访问 webUI 的入站规则

      使用非 EMR 安全组时,如需正常访问集群服务 webUI,入站规则应包含以下策略:
      来源
      协议端口
      策略
      备注
      0.0.0.0/0
      TCP:13000
      ACCEPT
      13000端口,hue 端口
      0.0.0.0/0
      TCP:30001
      ACCEPT
      放开端口30001
      0.0.0.0/0
      TCP:30002
      ACCEPT
      放开端口30002
      0.0.0.0/0
      TCP:22
      ACCEPT
      放开远程登录端口
      更多安全组的介绍请参见 安全组
      联系我们

      联系我们,为您的业务提供专属服务。

      联系我们
      技术支持

      如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

      提交工单
      7x24 电话支持
      Copyright © 2013-2024 Tencent Cloud. All Rights Reserved.
      隐私条款服务条款缓存条款