使用 Amazon EMR 托管的安全组
不同的托管安全组与集群中的主实例以及核心和任务实例相关联。在私有子网中创建集群时,需要用于服务访问的其他托管安全组。有关网络配置的托管安全组角色的更多信息,请参阅 Amazon VPC 选项。
当您为集群指定托管安全组时,必须对所有托管安全组使用相同类型的安全组(默认或自定义)。例如,您无法为主实例指定自定义安全组,也无法为核心和任务实例指定自定义安全组。
如果您使用默认托管安全组,则无需在创建集群时指定它们。Amazon EMR 会自动使用默认值。此外,如果您的集群 VPC 中不存在默认值,则 Amazon EMR 会创建它们。如果您明确指定默认托管安全组但它们尚不存在,则 Amazon EMR 还会创建它们。
您可以在创建集群时,在托管安全组中编辑规则。在创建新集群时,Amazon EMR 会检查托管安全组中指定的规则,然后创建新集群除早前可能已添加的规则以外所需要的任何缺失的规则。
默认托管安全组如下所示:
-
ElasticMapReduce-master
有关此安全组中的规则,请参阅适用于主实例(公有子网)的 Amazon EMR 托管的安全组。
-
ElasticMapReduce-slave
有关此安全组中的规则,请参阅适用于核心和任务实例(公有子网)的 Amazon EMR 托管的安全组。
-
ElasticMapReduce-Master-Private
有关此安全组中的规则,请参阅适用于主实例(私有子网)的 Amazon EMR 托管的安全组。
-
ElasticMapReduce-Slave-Private
有关此安全组中的规则,请参阅适用于核心和任务实例(私有子网)的 Amazon EMR 托管的安全组。
-
ElasticMapReduce-ServiceAccess
有关此安全组中的规则,请参阅适用于服务访问(私有子网)的 Amazon EMR 托管的安全组。
适用于主实例(公有子网)的 Amazon EMR 托管的安全组
公有子网中主实例的默认托管安全组的 Group Name (组名称) 为 ElasticMapReduce-master。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。
| 类型 | 协议 | 端口范围 | 源 | 详细信息 |
|---|---|---|---|---|
| 入站规则 | ||||
| All ICMP-IPv4 (所有 ICMP-IPv4) | 全部 | 不适用 | 主实例的托管安全组的组 ID。换句话说,规则出现在相同安全组内。 |
这些反身规则允许来自与指定安全组关联的任何实例的入站流量。对多个集群使用默认 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| All ICMP-IPV4 (所有 ICMP-IPV4) | 全部 | 不适用 | 为核心和任务节点指定的托管安全组的组 ID。 |
这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联的任何核心和任务实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| Custom (自定义) | TCP | 8443 | 各种 Amazon IP 地址范围 | 这些规则允许集群管理器与主节点通信。 |
| 出站规则 | ||||
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 此规则提供对 Internet 的出站访问。 |
适用于核心和任务实例(公有子网)的 Amazon EMR 托管的安全组
公有子网中核心和任务实例的默认托管安全组的 Group Name (组名称) 为 ElasticMapReduce-slave。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。
| 类型 | 协议 | 端口范围 | 源 | 详细信息 |
|---|---|---|---|---|
| 入站规则 | ||||
| All ICMP-IPV4 (所有 ICMP-IPV4) | 全部 | 不适用 | 核心和任务实例托管安全组的组 ID。换句话说,规则出现在相同安全组内。 |
这些反身规则允许来自与指定安全组关联的任何实例的入站流量。对多个集群使用默认 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| All ICMP-IPV4 (所有 ICMP-IPV4) | 全部 | 不适用 | 主实例的托管安全组的组 ID。 |
这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联的任何主实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| 出站规则 | ||||
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 提供对 Internet 的出站访问。 |
适用于主实例(私有子网)的 Amazon EMR 托管的安全组
私有子网中主实例的默认托管安全组的 Group Name (组名称) 为 ElasticMapReduce-Master-Private。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。
| 类型 | 协议 | 端口范围 | 源 | 详细信息 |
|---|---|---|---|---|
| 入站规则 | ||||
| All ICMP-IPv4 (所有 ICMP-IPv4) | 全部 | 不适用 | 主实例的托管安全组的组 ID。换句话说,规则出现在相同安全组内。 |
这些反身规则允许来自与指定安全组关联且可从私有子网中进行访问的任何实例的入站流量。对多个集群使用默认 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| All ICMP-IPV4 (所有 ICMP-IPV4) | 全部 | 不适用 | 核心和任务节点的托管安全组的组 ID。 |
这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联且从私有子网内进行访问的任何核心和任务实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| HTTPS (8443) | TCP | 8443 | 私有子网中用于服务访问的托管安全组的组 ID。 | 此规则允许集群管理器与主节点通信。 |
| 出站规则 | ||||
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 提供对 Internet 的出站访问。 |
适用于核心和任务实例(私有子网)的 Amazon EMR 托管的安全组
私有子网中核心和任务实例的默认托管安全组的 Group Name (组名称) 为 ElasticMapReduce-Slave-Private。默认托管安全组具有以下规则,如果您指定自定义托管安全组,则 Amazon EMR 将添加相同规则。
| 类型 | 协议 | 端口范围 | 源 | 详细信息 |
|---|---|---|---|---|
| 入站规则 | ||||
| All ICMP-IPV4 (所有 ICMP-IPV4) | 全部 | 不适用 | 核心和任务实例托管安全组的组 ID。换句话说,规则出现在相同安全组内。 |
这些反身规则允许来自与指定安全组关联的任何实例的入站流量。对多个集群使用默认 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| All ICMP-IPV4 (所有 ICMP-IPV4) | 全部 | 不适用 | 主实例的托管安全组的组 ID。 |
这些规则允许所有入站 ICMP 流量以及来自与指定安全组关联的任何主实例的通过任何 TCP 或 UDP 端口的流量,即使这些实例位于不同的集群中。 |
| 所有 TCP | TCP | 全部 | ||
| 所有 UDP | UDP | 全部 | ||
| HTTPS (8443) | TCP | 8443 | 私有子网中用于服务访问的托管安全组的组 ID。 | 此规则允许集群管理器与核心和任务节点通信。 |
| 出站规则 | ||||
| 所有流量 | 全部 | 全部 | 0.0.0.0/0 | 提供对 Internet 的出站访问。 |
适用于服务访问(私有子网)的 Amazon EMR 托管的安全组
私有子网中服务访问的默认托管安全组的 Group Name (组名称) 为 ElasticMapReduce-ServiceAccess。它没有入站规则和允许流量通过 HTTPS(端口 8443)到私有子网中其他托管安全组的出站规则。这些规则允许集群管理器与主节点以及核心节点和任务节点进行通信。如果指定自定义安全组,则会添加相同规则。