操作指南
1. 登录 腾讯云数据仓库 TCHouse-D 控制台,单击资源ID/名称进行集群信息页。
2. 在集群信息页,单击配置信息 模块的 安全组编辑 按钮进行安全组配置。
3. 按需为集群绑定安全组。
警告:
安全组未添加任何规则时,默认拒绝所有入/出站的流量。为保障集群正常运行,建议配置安全组后,放通集群所在子网全部IP的所有端口,或至少参照下文 安全组最小化IP/端口配置规则 进行配置。
注意:
1. 绑定多个安全组时:安全组规则的优先级按列表位置从上至下依次递减,即列表顶端规则优先级最高,最先匹配;列表底端规则最后匹配。
2. 若使用子账户操作安全组,请在 访问管理-策略 中,将已授权【vpc:ModifyNetworkInterface、vpc:ModifyNetworkInterfaceAttribute、cvm:DisassociateNetworkInterfaceSecurityGroups】三个接口的策略与指定子账号关联,以确保正常操作。
安全组最小化 IP/端口配置规则
1. 安全组最小化端口配置:
注意:
以下端口需要在入站规则、出站规则中分别添加。
节点类型 | 端口名称 | 默认端口 | 通信方向 | 说明 |
BE | be_port | 9060 | FE -> BE | BE 上 Thrift Server 的端口,用于接收来自 FE 的请求 |
BE | webserver_port | 8040 | BE <-> BE | BE 上的 HTTP Server 端口 |
BE | heartbeat_service_port | 9050 | FE -> BE | BE 上的心跳服务端口(Thrift),用于接收来自 FE 的心跳 |
BE | brpc_port | 8060 | FE <-> BE,BE <-> BE | BE 上的 BRPC 端口,用于 BE 之间的通信 |
FE | http_port | 8030 | FE <-> FE,Client <-> FE | FE 上的 HTTP Server 端口 |
FE | rpc_port | 9020 | BE -> FE,FE <-> FE | FE 上的 Thrift Server 端口,每个 FE 的配置需保持一致 |
FE | query_port | 9030 | Client <-> FE | FE 上的 MySQL Server 端口 |
FE | edit_log_port | 9010 | FE <-> FE | FE 上的 bdbje 通信端口 |
2. 安全组最小化 IP 配置。
分类 | 建议配置 | 最小化 IP 配置(配置较繁琐,不建议) |
入站规则 | 1. 数据写入端的 IP/IP 段。 2. 集群所在子网的全部 IP 段。 注意: 集群使用多个子网时,需同时添加多个子网的网段。 | 1. 数据写入端的 IP/IP 段。 2. 所有FE、BE 节点(若有弹性节点,也需配置)的 IP。 警告: FE、BE 节点有扩容时,需要额外手动添加新节点的IP。 |
出站规则 | 1. 数据查询端的 IP/IP 段。 2. 集群所在子网的全部 IP 段。 注意: 集群使用多个子网时,需同时添加多个子网的网段。 | 1. 数据查询端的 IP/IP 段。 2. 所有 FE、BE节点(若有弹性节点,也需配置)的 IP。 警告: FE、BE 节点有扩容时,需要额外手动添加新节点的IP。 |
