连接之前:授权入站流量 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接之前:授权入站流量

在连接到 Amazon EMR 群集之前,您必须授权来自受信任客户端(如计算机的 IP 地址)的入站 SSH 流量(端口 22)。为此,请编辑要连接的节点的托管安全组规则。例如,以下说明介绍如何将 SSH 访问的入站规则添加到默认弹性映射减少主安全组。

有关在 Amazon EMR 中使用安全组的信息,请参阅使用安全组控制网络流量.

允许对弹性映射减少主安全组的受信任源进行 SSH 访问

您必须先登录Amazon作为 root 用户或允许用于管理集群所在 VPC 的安全组的 IAM 委托人。有关更多信息,请参阅 。更改 IAM 用户的权限示例策略,它允许管理IAM 用户指南.

  1. 从打开 Amazon EMR 控制台https://console.aws.amazon.com/elasticmapreduce/.

  2. 选择 Clusters

  3. 选择集群的 Name (名称)

  4. Security and access (安全与访问) 下,选择 Security groups for Master (主节点的安全组) 链接。

  5. 从列表中选择 ElasticMapReduce-master

  6. 选择入站编辑.

  7. 通过以下设置检查允许公共访问的入站规则。如果存在,请选择Delete以将其删除。

    • 类型

      SSH

    • 端口

      22

    • 定制 0.0/0

    警告

    2020 年 12 月之前,公有子网中主实例的默认 EMR 托管安全组通过预配置规则创建了一个规则,以允许端口 22 上来自所有来源的入站流量。此规则的创建是为了简化到主节点的初始 SSH 连接。我们强烈建议您删除此入站规则并仅限制来自可信的来源的流量。

  8. 滚动到规则列表底部,然后选择添加规则.

  9. 对于Type (类型),选择 SSH

    这会自动输入TCP对于 来说为协议22对于 来说为端口范围.

  10. 对于源,选择 My IP (我的 IP)

    这会自动将您的客户端计算机的 IP 地址添加为源地址。或者,您可以添加一系列Custom (自定义)可信客户端 IP 地址,然后选择 Add rule (添加规则) 来创建针对其他客户端的其他规则。许多网络环境动态分配 IP 地址,因此您可能需要定期编辑安全组规则以更新可信客户端的 IP 地址。

  11. 选择 Save

  12. (可选)选择ElasticMapReduce-slave并重复上述步骤以允许 SSH 客户端从可信客户端访问核心和任务节点。