连接之前:授权入站流量 - Amazon EMR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

连接之前:授权入站流量

您必须先授权来自信任客户端(例如您电脑的 IP 地址)的入站 SSH 流量(端口 22),然后才能连接到 Amazon EMR 集群。为此,请为要连接的节点编辑托管式安全组规则。例如,以下说明将向您展示如何为默认 ElasticMapReduce-master 安全组的 SSH 访问添加入站规则。

有关结合使用 Amazon EMR与安全组的更多信息,请参阅使用安全组控制网络流量

New console
使用新控制台授予可信源 SSH 访问主要安全组的权限

要编辑安全组,您必须具有权限来管理集群所在 VPC 的安全组。有关更多信息,请参阅《IAM 用户指南》中的更改用户的权限和允许管理 EC2 安全组的示例策略

  1. 登录 Amazon Web Services Management Console 并打开 Amazon EMR 控制台,网址为 https://console.aws.amazon.com/emr

  2. 在左侧导航窗格中的 EMR on EC2 下,选择 Clusters(集群),然后选择要更新的集群。集群详细信息页面随即打开。将预先选择此页面上的 Properties(属性)选项卡。

  3. Properties(属性)选项卡的 Networking(联网)下,选择 EC2 security groups (firewall) [EC2 安全组(防火墙)] 旁边的箭头以展开此部分。在 Primary node(主节点)下,选择安全组链接。此操作将打开 EC2 控制台。

  4. 选择 Inbound rules(入站规则)选项卡,然后选择 Edit inbound rules(编辑入站规则)。

  5. 通过以下设置检查允许公有访问的入站规则。如果存在,请选择 Delete (删除) 以将其删除。

    • Type

      SSH

    • 端口

      22

    • 自定义 0.0.0.0/0

    警告

    2020 年 12 月之前,ElasticMapRemoe-Master 安全组有一个预先配置的规则,允许来自所有来源的端口 22 入站流量。创建此规则可简化与主节点的初始 SSH 客户端连接。我们强烈建议您移除此入站规则,限制流量进入可信来源。

  6. 滚动到规则列表的底部并选择 Add Rule (添加规则)

  7. 对于Type (类型),选择 SSH。此选择将自动为 Protocol(协议)输入 TCP,为 Port Range(端口范围)输入 22

  8. 针对源,选择 My IP(我的 IP),自动添加您的 IP 地址作为源地址。您也可以添加一系列 Custom (自定义) 可信客户端 IP 地址,或创建针对其他客户端的其他规则。许多网络环境动态分配 IP 地址,因此您以后可能需要更新受信任客户端的 IP 地址。

  9. 选择 Save(保存)。

  10. 您可以选择返回步骤 3,选择 Core and task nodes(核心节点和任务节点),然后重复步骤 4 - 8。这会向核心节点和任务节点授予 SSH 客户端访问权限。

Old console
使用旧控制台向可信源 SSH 授予主要安全组访问权限

要编辑安全组,您必须具有权限来管理集群所在 VPC 的安全组。有关更多信息,请参阅《IAM 用户指南》中的更改用户的权限和允许管理 EC2 安全组的示例策略

  1. 导航到 Amazon EMR 新控制台,然后从侧面导航栏中选择切换到旧控制台。有关切换到旧控制台后预期情况的更多信息,请参阅 Using the old console

  2. 选择 Clusters (集群)。选择您要修改的集群的 Name(名称)

  3. Security and access (安全与访问) 下,选择 Security groups for Master (主节点的安全组) 链接。

  4. 从列表中选择 ElasticMapReduce-master

  5. 选择 Inbound rules(入站规则)选项卡,然后选择 Edit inbound rules(编辑入站规则)

  6. 通过以下设置检查允许公有访问的入站规则。如果存在,请选择 Delete (删除) 以将其删除。

    • Type

      SSH

    • 端口

      22

    • 自定义 0.0.0.0/0

    警告

    2020 年 12 月之前,ElasticMapRemoe-Master 安全组有一个预先配置的规则,允许来自所有来源的端口 22 入站流量。创建此规则可简化与主节点的初始 SSH 客户端连接。我们强烈建议您移除此入站规则,限制流量进入可信来源。

  7. 滚动到规则列表的底部并选择 Add Rule (添加规则)

  8. 对于Type (类型),选择 SSH

    选择 SSH,自动为 Protocol (协议) 输入 TCP,为 Port Range (端口范围) 输入 22

  9. 针对源,选择 My IP(我的 IP),自动添加您的 IP 地址作为源地址。您也可以添加一系列 Custom (自定义) 可信客户端 IP 地址,或创建针对其他客户端的其他规则。许多网络环境动态分配 IP 地址,因此您以后可能需要更新受信任客户端的 IP 地址。

  10. 选择 Save(保存)。

  11. 或者,从列表中选择 ElasticMapReduce-slave 并重复上述步骤,以允许对核心和任务节点执行 SSH 客户端访问。