amazon-emr - Amazon EMR - 端口 9443 上缺少来自 EmrManagedMasterSecurityGroup 的入口规则

Question

我正在努力解决这个问题，但无法弄清楚为什么

1. 我有一个要部署在 AWS 私有(private)子网中的 EMR 集群。
2. 我检查了文档 here .
3. 根据以上内容，我明白了以下几点:

一个。对于我的 EMR 自定义 安全组，我不需要为端口 9443 指定入口规则，即它可以与 ElasticMapReduce-Master-Private 相同。以下是我的 EMR Managed Security Group for Master/Slave instances (NOT Service) 的入站/出站规则

出站

入境

对于我的自定义服务安全组，我可以保持它与 ElasticMapReduce-ServiceAccess 相同，我需要为端口 9443 指定入口规则，如下所示 (Terraform):

resource "aws_security_group_rule" "allow_tcp_from_master_to_service" {
  type                     = "ingress"
  from_port                = 9443
  to_port                  = 9443
  protocol                 = "tcp"
  security_group_id        = join("", aws_security_group.ml.*.id)
  source_security_group_id = join("", aws_security_group.ml_emr.*.id)

  lifecycle {
    create_before_destroy = false
  }
}

但是当我使用 terraform 部署它时，我收到 AWS 错误:

Error waiting for EMR Cluster state to be "WAITING" or "RUNNING": TERMINATED_WITH_ERRORS: VALIDATION_ERROR: ServiceAccessSecurityGroup is missing ingress rule from EmrManagedMasterSecurityGroup on port 9443

我很难理解为什么 AWS 说我需要它而我不需要它？从文档中看不清楚这是在哪里提到的，所以如果有人能澄清这里的预期内容，我将不胜感激。

问候，

Answer 1

主实例和任务实例是否具有相同的 SG？

我对主实例和任务实例有不同的 SG，我通过对两者使用相同的 SG 解决了这个问题