訪問鏈接與端口
通過訪問鏈接與端口功能,您可以方便地通過控制臺方式訪問集群中已安裝開源組件Web UI的地址。本文將介紹如何設(shè)置安全組規(guī)則和訪問鏈接,以便查看集群中開源組件的UI界面。
前提條件
已創(chuàng)建E-MapReduce集群,詳情請參見創(chuàng)建集群。
背景信息
方式 | 優(yōu)點(diǎn) | 限制 |
|
| |
不需要添加Knox服務(wù)。 |
|
方式一:通過Knox服務(wù)代理訪問開源組件UI
添加安全組規(guī)則
當(dāng)您初次使用組件時,您需要按照以下步驟來打開您的安全組訪問權(quán)限:
獲取機(jī)器的公網(wǎng)訪問IP地址。
為了安全的訪問集群組件,在設(shè)置安全組策略時,推薦您只針對當(dāng)前的公網(wǎng)訪問IP地址開放。您可以訪問IP地址,查看并獲取當(dāng)前的公網(wǎng)訪問IP地址。
進(jìn)入集群基礎(chǔ)信息頁面。
在頂部菜單欄處,根據(jù)實(shí)際情況選擇地域和資源組。
單擊目標(biāo)集群的集群ID。
增加安全組規(guī)則。
在基礎(chǔ)信息頁面,單擊集群安全組的鏈接。
在安全組規(guī)則頁面,根據(jù)需求開啟8443端口。
重要為防止被外部的用戶攻擊導(dǎo)致安全問題,授權(quán)對象禁止填寫為0.0.0.0/0。
在安全組規(guī)則頁面,單擊手動添加。
端口范圍填寫為8443/8443,授權(quán)對象填寫為步驟1中獲取的公網(wǎng)訪問IP地址。
單擊保存。
說明如果集群的網(wǎng)絡(luò)類型是VPC,則配置內(nèi)網(wǎng)入方向。如果集群的網(wǎng)絡(luò)類型是經(jīng)典網(wǎng)絡(luò),則配置公網(wǎng)入方向。此處以VPC網(wǎng)絡(luò)為例。
開放應(yīng)用出入規(guī)則時應(yīng)遵循最小授權(quán)原則。根據(jù)應(yīng)用需求,只開放對應(yīng)的端口。
完成以上策略配置后,即可查看新增策略。
配置成功后,您即已安全的開放了網(wǎng)絡(luò)訪問路徑。
訪問開源組件的Web UI
進(jìn)入訪問鏈接與端口頁簽。
在頂部菜單欄處,根據(jù)實(shí)際情況選擇地域和資源組。
單擊目標(biāo)集群的集群ID。
單擊上方的訪問鏈接與端口頁簽。
在訪問鏈接與端口頁面,單擊服務(wù)所在行的Knox鏈接,即可正常的訪問Web UI頁面。
重要如果集群的Master節(jié)點(diǎn)未綁定公網(wǎng),您只能使用Knox內(nèi)網(wǎng)鏈接進(jìn)行訪問。如果您需要使用公網(wǎng)訪問方式,請按照以下方式操作。
在節(jié)點(diǎn)管理頁面,單擊master-1-1節(jié)點(diǎn)的ECS ID。
在ECS控制臺,為master-1-1節(jié)點(diǎn)的ECS實(shí)例綁定彈性IP,詳情請參見綁定和解綁彈性公網(wǎng)IP。
同步主機(jī)信息。
在節(jié)點(diǎn)管理頁面,選擇右上角的。
在彈出的對話框中,單擊確定。
在訪問鏈接與端口頁面,即可訪問Knox公網(wǎng)地址。
使用用戶管理中的用戶身份信息進(jìn)行登錄認(rèn)證,即可進(jìn)入相應(yīng)的UI頁面。
用戶賬號創(chuàng)建請參見管理用戶。
部分特殊組件UI訪問方式。
訪問Ranger UI
訪問Flink UI(EMR-3.29.0之前版本)
早期版本Flink組件僅支持通過SSH隧道方式訪問Web UI時,請參見通過SSH隧道方式訪問開源組件Web UI。
說明訪問YARN UI頁面上的Flink作業(yè):您可以在EMR控制臺的訪問鏈接與端口頁面,單擊YARN UI所在行的鏈接,在Hadoop控制臺,單擊Flink作業(yè)的ID,即可查看Flink作業(yè)運(yùn)行的詳情。
當(dāng)集群開啟Ranger后,您可以使用默認(rèn)的用戶名和密碼訪問RANGER UI,詳情請參見Ranger概述。
方式二:通過內(nèi)網(wǎng)IP地址訪問開源組件UI
添加安全組規(guī)則
獲取本地機(jī)器的內(nèi)網(wǎng)IP地址。
為了安全的訪問集群組件,在設(shè)置安全組策略時,推薦您只針對本地機(jī)器的內(nèi)網(wǎng)IP地址開放安全組端口。
進(jìn)入集群基礎(chǔ)信息頁面。
在頂部菜單欄處,根據(jù)實(shí)際情況選擇地域和資源組。
在EMR on ECS的集群管理頁面,單擊目標(biāo)集群的集群ID。
增加安全組規(guī)則。
在基礎(chǔ)信息頁面,單擊默認(rèn)安全組的鏈接。
在安全組規(guī)則頁面,根據(jù)需求開啟端口。
重要為防止被外部的用戶攻擊導(dǎo)致安全問題,授權(quán)對象禁止填寫為0.0.0.0/0。
訪問不同組件Web UI需要打開的端口不同,具體請查看組件原生UI地址IP后的端口。本文以添加HDFS端口為例,HDFS的原生內(nèi)網(wǎng)地址為
https://{主機(jī)內(nèi)網(wǎng)IP}:8088,則需要在安全組內(nèi)添加8088端口規(guī)則。在安全組規(guī)則頁面,單擊手動添加。
端口范圍填寫為8088/8088,授權(quán)對象填寫為步驟1中獲取的內(nèi)網(wǎng)IP地址。
單擊保存。
說明如果集群的網(wǎng)絡(luò)類型是VPC,則配置內(nèi)網(wǎng)入方向。如果集群的網(wǎng)絡(luò)類型是經(jīng)典網(wǎng)絡(luò),則配置公網(wǎng)入方向。此處以VPC網(wǎng)絡(luò)為例。
開放應(yīng)用出入規(guī)則時應(yīng)遵循最小授權(quán)原則。根據(jù)應(yīng)用需求,只開放對應(yīng)的端口。
完成以上策略配置后,即可查看新增策略。
訪問開源組件UI的原生地址
進(jìn)入訪問鏈接與端口頁簽。
在頂部菜單欄處,根據(jù)實(shí)際情況選擇地域和資源組。
單擊目標(biāo)集群的集群ID。
單擊上方的訪問鏈接與端口頁簽。
在訪問鏈接與端口頁面,單擊服務(wù)所在行的原生UI鏈接,即可正常訪問Web UI頁面。
常見問題
如果您使用Knox代理地址,則需要在集群的安全組中添加8443端口。如果使用服務(wù)原生地址,則需要提前在集群的安全組中添加服務(wù)對應(yīng)的Web端口。添加安全組規(guī)則詳情,請參見添加安全組規(guī)則。
請使用在用戶管理功能中添加的用戶信息進(jìn)行認(rèn)證。添加用戶詳情,請參見管理用戶。
如果該頁面沒有任何信息,請確認(rèn)是否是賬號欠費(fèi)停機(jī)導(dǎo)致的。如果是這種情況,需要先繳費(fèi),然后等待一段時間才能恢復(fù)服務(wù)。
如果只是Knox代理地址列沒有信息,請確認(rèn)集群是否安裝了OpenLDAP和Knox服務(wù)。
如果是因?yàn)樵缙陂_源組件與Knox適配問題導(dǎo)致的WEB UI訪問異常,請重新購買新版本集群。適配問題涉及以下版本的服務(wù):
HBase:影響EMR 5.10.x至5.12.x版本,EMR 5.13.x及之后版本已修復(fù)。
Presto與Trino:影響EMR 5.10.x至5.14.x版本,EMR 5.15.x及之后版本已修復(fù)。
相關(guān)文檔
如果您對安全性要求較高或者在特定的網(wǎng)絡(luò)環(huán)境下,您可以選擇通過打隧道的方式訪問Web UI,詳情請參見通過SSH隧道方式訪問開源組件Web UI。
服務(wù)使用問題,詳情請參見常見問題。