EMR 使用腾讯云私有网络(VPC)作为 EMR 底层网络,EMR 中的安全组设置用于控制集群内部节点互相访问和外部节点访问内部节点侧虚拟防火墙。本文档主要介绍 EMR 使用安全组的最佳实践,帮助您选择安全组策略。
安全组
安全组是一种有状态的包过滤功能的虚拟防火墙,它用于设置单台或多台云服务器(节点)的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。若没有安全组,创建 EMR 集群时会自动帮您新建一个安全组,若安全组数量已达到上限无法新建,可删除部分不再使用的安全组。若已有安全组,可直接在 私有网络控制台 查看并使用已有的安全组。
使用限制与规则
安全组规则包括如下组成部分:
来源:源数据(入站)或目标数据(出站)的 IP。
协议类型和协议端口:协议类型,如 TCP、UDP 等。
策略:允许或拒绝。
使用 EMR 安全组选择原则
默认选择使用已有安全组,默认选择 EMR 安全组,用户可以选择新建 EMR 安全组或选择非 EMR 安全组。
1. 新创建的 EMR 安全组,将开启22和30001端口及必要的内网通信网段,新安全组以 emr-xxxxxxxx_yyyyMMdd 命名,请勿手动修改安全组名称。
2. 选择已有安全组作为当前实例的安全组,支持当前地域所有可用安全组。建议优先选择 emr-xxx 开头的安全组,这类安全组已开启 EMR 服务正常运行必要的策略。非 emr 开头的安全组可能会缺少必要的出入站规则,导致集群创建失败或集群不可用,请谨慎选择非 emr 开头安全组。
3. 扩容节点时,安全组默认集成新建集群时选择的安全组策略。
EMR 的安全组策略详情
在新建 EMR 集群时,使用非 EMR 安全组,出入站必须包含以下规则,否则集群将无法创建。
入站规则
来源 | 协议端口 | 策略 | 备注 |
10.0.0.0/8 | ALL | ACCEPT | A 网段放开 |
172.16.0.0/12 | ALL | ACCEPT | B 网段放开 |
192.168.0.0/16 | ALL | ACCEPT | C 网段放开 |
0.0.0.0/0 | ICMP | ACCEPT | 本地 ICMP 放开 |
出站规则
来源 | 协议端口 | 策略 | 备注 |
0.0.0.0/0 | ALL | ACCEPT | 出站放开所有 |
访问 webUI 的入站规则
使用非 EMR 安全组时,如需正常访问集群服务 webUI,入站规则应包含以下策略:
来源 | 协议端口 | 策略 | 备注 |
0.0.0.0/0 | TCP:13000 | ACCEPT | 13000端口,hue 端口 |
0.0.0.0/0 | TCP:30001 | ACCEPT | 放开端口30001 |
0.0.0.0/0 | TCP:30002 | ACCEPT | 放开端口30002 |
0.0.0.0/0 | TCP:22 | ACCEPT | 放开远程登录端口22 |
