You need to enable JavaScript to run this app.
文档中心
文档备案控制台
E-MapReduce

E-MapReduce

请输入
  • 文档首页
    • E-MapReduce最佳实践EMR Serverless 队列最佳实践EMR Serverless 访问公网最佳实践
复制全文
下载 pdf
我的收藏
EMR Serverless 队列最佳实践
EMR Serverless 访问公网最佳实践
复制全文
下载 pdf
我的收藏
EMR Serverless 访问公网最佳实践

本文主要介绍火山引擎 EMR Serverless 如何通过配置火山引擎的 NAT 网关(NAT Gateway)和弹性公网 IP(Elastic IP Address, EIP)等网络产品,实现访问公网的需求。当您的EMR Serverless作业需要访问公网资源(例如,外部 API、公网上的数据库服务等)时,可以参考本方案进行配置。

方案概述

EMR Serverless 默认将作业运行在 EMR 服务侧的托管 VPC 中,默认与公网隔离,无法直接访问互联网。为了实现公网访问,您需要实现两个步骤:

  1. 为您的作业/队列配置跨 VPC 参数,保证出口流量走您账户下 VPC
  2. 为 EMR Serverless 队列所关联的 VPC 配置 NAT 网关,并为该网关绑定一个 EIP,配置 SNAT 规则,使得位于私有子网内的 EMR Serverless 任务可以通过该 NAT 网关和 EIP 访问公网。

其核心数据流向如下:
Image

  1. EMR Serverless 内的作业实例产生访问公网的流量。
  2. 流量进入其所在的 私有子网
  3. 根据子网关联的 路由表 规则,将目标地址为公网的流量转发至 NAT 网关
  4. NAT 网关 根据配置的 SNAT 规则,将来自私有子网的流量的源 IP 地址转换为绑定的 EIP 地址,然后将流量发送至互联网。
  5. 从公网返回的响应流量会先到达 EIP,再通过 NAT 网关 转发回发起请求的 EMR Serverless 计算实例,从而完成整个通信链路。

整个过程中的网络流量受到 安全组 规则的控制,保障了访问的安全性。

前置条件

在开始配置前,请确保您已完成以下准备工作:

  • 私有网络 (VPC) 与子网:已创建一个 VPC 及一个或多个私有子网。EMR Serverless 的队列作业将运行在此 VPC 和子网中。详情请参考 创建私有网络创建子网
  • 弹性公网 IP (EIP):已申请一个 EIP,且该 EIP 与您的 EMR Serverless 队列位于同一地域。此 EIP 将用于绑定到 NAT 网关,作为公网出口地址。详情请参考 申请公网 IP

操作步骤

配置过程主要分为四大步:EMR Serverless 队列/作业网络配置、创建和配置 NAT 网关、(可选)配置外部服务的访问白名单、(可选)配置公网DNS解析。

step1:配置EMR Serverless 队列/作业 VPC

参考 EMR Serverless 访问 VPC 实践指南,为作业/队列配置VPC参数。

step2:创建并配置 NAT 网关

NAT 网关是实现网络地址转换的核心服务,它为 VPC 内的云服务器实例提供访问公网的能力。

  1. 登录 NAT 网关控制台,在顶部导航栏选择与您的 EMR Serverless 队列相同的 地域

  2. 单击 创建 NAT 网关 按钮。在创建页面,您需要配置以下关键参数:

    参数

    说明

    计费类型

    选择 NAT 网关的计费类型。如需了解 NAT 网关的计费详情,请参见计费概览

    名称

    输入 NAT 网关的名称。

    地域

    选择 NAT 网关所在地域,与 EMR Serverless队列地域相同。

    私有网络

    选择预先准备的私有网络,与 EMR Serverless队列/任务关联的 VPC 相同。

    子网

    选择预先准备的子网, 子网内至少有一个可用的私网 IP。系统自动生成的 NAT 网关网卡将占用该子网一个私网 IP。
    如果您在后续的NAT选择整个VPC放开,则子网可以是VPC下的任意子网,否则选择与 EMR Serverless队列配置的子网一致。

    规格

    根据预估的公网访问流量选择合适的规格(如小型、中型、大型)。

    完成配置后,确认订单并完成购买。

  3. 为创建好的 NAT 网关 绑定公网 IP

    • 在 NAT 网关列表中,找到刚刚创建的网关,单击其右侧的 配置公网 IP
    • 公网 IP 页签下,单击 绑定公网 IP,选择您在“前置条件”中准备好的 EIP,并确认绑定。

  4. 为 NAT 网关 创建 SNAT 规则。SNAT(源网络地址转换)规则定义了 VPC 内哪些网段的流量可以通过此 NAT 网关访问公网。

(可选)step3:配置安全组规则与外部服务白名单

为保障网络安全,您还需要检查并配置相关的安全组规则,并在需要时将 EIP 地址添加到外部服务的访问白名单中。

  1. 配置安全组
    • 检查 EMR Serverless 队列或计算组关联的 安全组
    • 确保其 出站规则 允许访问目标公网服务的端口。例如,如果您的作业需要访问公网上的一个 MySQL 数据库(端口 3306),则需要有一条允许访问目标 0.0.0.0/0 的 TCP 3306 端口的出站规则。通常,默认的出站规则是允许所有流量(0.0.0.0/0),一般无需修改。
  2. 配置外部服务白名单
    • 如果您的作业需要访问的公网服务(如第三方 API、外部数据库等)设置了 IP 访问白名单,您需要将 NAT 网关绑定的 EIP 地址 添加到该服务的白名单中。
    • 您可以在 NAT 网关的 SNAT 规则 页面或 公网 IP 页面找到这个 EIP 地址。

(可选)step4:配置公网域名解析

EMR Serverless作业默认无法访问公网DNS,如果您需要支持公网域名解析,您需要在任务提交conf里增加参数:

serverless.cross.vpc.dns.resolve.enabled = true
最近更新时间:2026.04.20 16:27:54
这个页面对您有帮助吗?
有用
有用
无用
无用