Настройка групп безопасности
Подключение к кластеру зависит от настроек групп безопасности. Убедитесь, что в правилах разрешен необходимый трафик.
Внимание
При настройке групп безопасности не изменяйте правила для служебного трафика. Это может привести к неработоспособности кластера.
Настройки правил будут различаться в зависимости от выбранного способа подключения:
-
Для подключения к хостам подкластеров с публичным доступом из облачных сетей и интернета настройте группы безопасности кластера так, чтобы они разрешали входящий трафик с любых IP-адресов на порт
22. Для этого создайте следующее правило для входящего трафика:- Диапазон портов —
22. - Протокол —
TCP. - Источник —
CIDR. - CIDR блоки —
0.0.0.0/0.
- Диапазон портов —
-
Для подключения к кластеру с промежуточной виртуальной машины:
-
Настройте группу безопасности, в которой находится ВМ, так, чтобы можно было подключаться к ВМ и был разрешен трафик между ВМ и хостами подкластеров. Для этого создайте следующие правила:
-
для входящего трафика:
- Диапазон портов —
22. - Протокол —
TCP. - Источник —
CIDR. - CIDR блоки —
0.0.0.0/0.
- Диапазон портов —
-
для исходящего трафика:
- Диапазон портов —
22. - Протокол —
TCP. - Назначение —
CIDR. - CIDR блоки — диапазон адресов подсети, в которой находятся хосты кластера. Если подкластеры находятся в разных подсетях, то создайте это правило для каждой подсети.
- Диапазон портов —
-
-
Настройте группы безопасности кластера так, чтобы они разрешали входящий трафик из группы безопасности, в которой находится ВМ, на порт
22. Для этого создайте следующее правило для входящего трафика:- Диапазон портов —
22. - Протокол —
TCP. - Источник —
Группа безопасности. - Группа безопасности — группа безопасности, в которой находится ВМ.
- Диапазон портов —
-
Для использования UI Proxy добавьте в группу безопасности хоста подкластера правила, разрешающие входящий трафик через порт 443:
- Диапазон портов —
443. - Протокол —
TCP. - Источник —
CIDR. - CIDR блоки —
0.0.0.0/0.
Если подключение выполняется через промежуточную ВМ, добавьте в группу безопасности хоста подкластера правила, разрешающие подключения через нее:
-
для входящего трафика:
- Диапазон портов —
443. - Протокол —
TCP. - Источник —
CIDR. - CIDR блоки —
0.0.0.0/0.
- Диапазон портов —
-
для исходящего трафика:
- Диапазон портов —
443. - Протокол —
TCP. - Назначение —
CIDR. - CIDR блоки — диапазон адресов подсети, в которой находится хост подкластера.
- Диапазон портов —
Если вы используете перенаправление портов, добавьте в группу безопасности промежуточной ВМ правила, разрешающие входящий и исходящий трафик через порты требуемых компонентов:
-
Диапазон портов —
<порт_компонента>.Номера портов для компонентов Yandex Data Processing приведены в таблице:
Сервис Порт HBase Master 16010 HBase REST 8085 HDFS Name Node 9870 Hive Server2 10002 Livy 8998 MapReduce Application History 19888 Oozie 11000 Spark History 18080 YARN Application History 8188 YARN Resource Manager 8088 Zeppelin 8890 -
Протокол —
TCP. -
Источник —
CIDR. -
CIDR блоки —
0.0.0.0/0.
Примечание
Вы можете задать более детальные правила для групп безопасности, например разрешить трафик только в определенных подсетях.
Группы безопасности должны быть корректно настроены для всех подсетей, в которых будут размещены подкластеры.
Подробнее о группах безопасности см. в разделе Группы безопасности.