安全组用于控制集群内云服务器各网卡的流量出入,用于在云上划分安全域,是火山引擎提供的重要的网络安全隔离手段。本文为您介绍如何添加安全组及安全组规则。
背景信息
您在创建E-MapReduce集群时,可以使用已有的安全组或者新建安全组,对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。您可以将ECS实例按照功能划分,放于不同的安全组中,每个安全组按照不同的需要设置不同的访问控制策略。
注意事项
- 添加安全组规则时,一定要限制访问IP地址范围,请不要使用0.0.0.0/0,避免被攻击。
- 为避免因放通不必要的IP地址和端口而带来安全风险,您应当严格遵循最小授权原则,尽可能精准地放通IP地址和端口,谨慎放通流量,以保护云服务器安全。
- 禁止使用在ECS上创建的企业安全组。
- 配置EMR集群安全组规则时,必须确保集群内所有ECS实例间内网互通,否则将影响EMR集群大数据服务。
- 为方便用户使用,系统为默认安全组添加了部分规则放通流量,请谨慎修改。
创建安全组
新建安全组详情,请参见创建安全组。
常见问题
- 安全组有哪些分离?默认安全组包含哪些流量放通规则?
根据安全组的创建方式进行分类,如下表:
类别 | 说明 |
|---|
默认安全组 | 创建私有网络时,系统自动创建。随私有网络删除而删除,不支持手动删除。为方便用户使用,其默认添加了部分规则(支持手动修改 )放通流量: - 出方向:放通所有流量,即可以访问任意地址的资源。
- 入方向:放通全网段(0.0.0.0/0,即任意地址)的ICMP、TCP的22、3389、80、443端口,放通网卡被本安全组内其他网卡访问的流量。
|
自定义安全组 | 用户手动创建。 为方便用户使用,其默认添加了部分规则(支持手动修改)放通流量: - 出方向:放通所有流量,即可以访问任意地址的资源。
- 入方向:放通网卡被本安全组内其他网卡访问的流量。
|
托管安全组 | 创建需要安全组的云服务(如NAT网关、VPN网关)时,系统自动创建。云服务托管该安全组,用户仅支持查看,生命周期随该云服务。EMR 禁止使用企业安全组。 |
- 创建EMR集群选择安全组提示:"请使用其他安全组或参考管理安全组更改安全组规则,确保安全组内的云服务器彼此通信",如何处理?
选择其他安全组或者更改选择的安全组规则,建议按照默认的流量方通一则进行更改:
- 出方向:放通所有流量,即可以访问任意地址的资源。
- 入方向:放通全网段(0.0.0.0/0,即任意地址)的ICMP、TCP的22、3389、80、443端口,放通网卡被本安全组内其他网卡访问的流量。