Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami enkripsi dalam transit
Anda dapat mengonfigurasi klaster EMR untuk menjalankan kerangka kerja sumber terbuka seperti [Apache Spark, Apache](https://aws.amazon.com/emr/features/spark/) [Hive](https://aws.amazon.com/emr/features/hive/), dan [Presto](https://aws.amazon.com/emr/features/presto/). masing-masing kerangka kerja sumber terbuka ini memiliki serangkaian proses yang berjalan pada instance EC2 dari sebuah cluster. Masing-masing proses ini dapat meng-host titik akhir jaringan untuk komunikasi jaringan.
Jika enkripsi dalam transit diaktifkan pada kluster EMR, titik akhir jaringan yang berbeda menggunakan mekanisme enkripsi yang berbeda. Lihat bagian berikut untuk mempelajari lebih lanjut tentang titik akhir jaringan kerangka kerja sumber terbuka tertentu yang didukung dengan enkripsi dalam perjalanan, mekanisme enkripsi terkait, dan rilis Amazon EMR yang menambahkan dukungan. Setiap aplikasi open-source mungkin juga memiliki praktik terbaik dan konfigurasi kerangka kerja sumber terbuka yang berbeda yang dapat Anda ubah.
Untuk cakupan enkripsi paling dalam transit, kami menyarankan Anda mengaktifkan enkripsi dalam transit dan Kerberos. Jika Anda hanya mengaktifkan enkripsi dalam transit, maka enkripsi dalam transit hanya akan tersedia untuk titik akhir jaringan yang mendukung TLS. Kerberos diperlukan karena beberapa titik akhir jaringan kerangka open source menggunakan Simple Authentication and Security Layer (SASL) untuk enkripsi in-transit.
Perhatikan bahwa kerangka kerja sumber terbuka apa pun yang tidak didukung dalam rilis Amazon EMR 7.xx tidak disertakan.
## Spark
Ketika Anda mengaktifkan enkripsi dalam transit dalam konfigurasi keamanan, secara otomatis `spark.authenticate` diatur ke `true` dan menggunakan AES-based enkripsi untuk koneksi RPC.
Dimulai dengan Amazon EMR 7.3.0, jika Anda menggunakan enkripsi dalam transit dan otentikasi Kerberos, Anda tidak dapat menggunakan aplikasi Spark yang bergantung pada metastore Hive. Hive 3 memperbaiki masalah ini di. [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340) [HIVE-44114](https://issues.apache.org/jira/browse/SPARK-44114)sepenuhnya menyelesaikan masalah ini ketika Spark open-source dapat meningkatkan ke Hive 3. Sementara itu, Anda dapat mengatur `hive.metastore.use.SSL` `false` untuk mengatasi masalah ini. Untuk informasi selengkapnya, lihat [Mengkonfigurasi aplikasi](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).
Untuk informasi selengkapnya, lihat [Keamanan Spark](https://spark.apache.org/docs/latest/security) di dokumentasi Apache Spark.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Spark History Server | spark.ssl.history.port | 18480 | TLS | emr-5.3.0 \+, emr-6.0 \+, emr-7.0 \+ |
| Spark UI | spark.ui.port | 4440 | TLS | emr-5.3.0 \+, emr-6.0 \+, emr-7.0 \+ |
| Spark Driver | spark.driver.port | Dinamis | Enkripsi percikan AES-based | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| Pelaksana Spark | Port Pelaksana (tidak ada konfigurasi bernama) | Dinamis | Enkripsi percikan AES-based | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| BENANG NodeManager | spark.shuffle.service.port 1 | 7337 | Enkripsi percikan AES-based | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
1 `spark.shuffle.service.port` di-host di YARN NodeManager tetapi hanya digunakan oleh Apache Spark.
**Masalah yang diketahui**
Pada `spark.yarn.historyServer.address` konfigurasi cluster yang diaktifkan intransit saat ini menggunakan port`18080`, yang mencegah akses ke UI aplikasi spark menggunakan URL pelacakan YARN. **Mempengaruhi Versi:** EMR - 7.3.0 ke EMR - 7.9.0.
Gunakan solusi berikut:
1. Ubah `spark.yarn.historyServer.address` konfigurasi `/etc/spark/conf/spark-defaults.conf` untuk menggunakan nomor `HTTPS` port `18480` pada cluster yang sedang berjalan.
1. Ini juga dapat diberikan dalam penggantian konfigurasi saat meluncurkan cluster.
Contoh konfigurasi:
```
[
{
"Classification": "spark-defaults",
"Properties": {
"spark.yarn.historyServer.address": "${hadoopconf-yarn.resourcemanager.hostname}:18480"
}
}
]
```
## BENANG Hadoop
[Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) diatur ke `privacy` dan menggunakan SASL-based enkripsi dalam transit. Ini mengharuskan otentikasi Kerberos diaktifkan dalam konfigurasi keamanan. Jika Anda tidak ingin enkripsi dalam transit untuk Hadoop RPC, konfigurasikan. `hadoop.rpc.protection = authentication` Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Jika sertifikat TLS Anda tidak dapat memenuhi persyaratan verifikasi nama host TLS, Anda dapat mengonfigurasinya. `hadoop.ssl.hostname.verifier = ALLOW_ALL` Kami menyarankan Anda menggunakan konfigurasi default`hadoop.ssl.hostname.verifier = DEFAULT`, yang memberlakukan verifikasi nama host TLS.
Untuk menonaktifkan HTTPS untuk titik akhir aplikasi web YARN, konfigurasikan`yarn.http.policy = HTTP_ONLY`. Ini membuatnya sehingga lalu lintas ke titik akhir ini tetap tidak terenkripsi. Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Untuk informasi selengkapnya, lihat [Hadoop dalam mode aman di dokumentasi](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) Apache Hadoop.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| ResourceManager | yarn.resourcemanager.webapp.address | 8088 | TLS | emr-7.3.0\+ |
| ResourceManager | yarn.resourcemanager.resource-tracker.address | 8025 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| ResourceManager | yarn.resourcemanager.scheduler.address | 8030 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| ResourceManager | yarn.resourcemanager.address | 8032 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| ResourceManager | yarn.resourcemanager.admin.address | 8033 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| TimelineServer | yarn.timeline-service.address | 10200 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| TimelineServer | yarn.timeline-service.webapp.address | 8188 | TLS | emr-7.3.0\+ |
| WebApplicationProxy | yarn.web-proxy.address | 20888 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| NodeManager | yarn.nodemanager.address | 8041 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| NodeManager | yarn.nodemanager.localizer.address | 8040 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| NodeManager | yarn.nodemanager.webapp.address | 8044 | TLS | emr-7.3.0\+ |
| NodeManager | mapreduce.shuffle.port 1 | 13562 | TLS | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| NodeManager | spark.shuffle.service.port 2 | 7337 | Enkripsi percikan AES-based | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
1 `mapreduce.shuffle.port` di-host di YARN NodeManager tetapi hanya digunakan oleh Hadoop MapReduce.
2 `spark.shuffle.service.port` di-host di YARN NodeManager tetapi hanya digunakan oleh Apache Spark.
**Masalah yang diketahui**
`yarn.log.server.url`Konfigurasi di saat ini menggunakan HTTP dengan port 19888, yang mencegah akses ke log aplikasi dari UI Resource Manager. **Mempengaruhi Versi:** EMR - 7.3.0 ke EMR - 7.8.0.
Gunakan solusi berikut:
1. Ubah `yarn.log.server.url` konfigurasi `yarn-site.xml` untuk menggunakan `HTTPS` protokol dan nomor port`19890`.
1. Mulai ulang Manajer Sumber Daya YARN:`sudo systemctl restart hadoop-yarn-resourcemanager.service`.
## Hadoop HDFS
Node nama Hadoop, simpul data, dan simpul jurnal semuanya mendukung TLS secara default jika enkripsi dalam transit diaktifkan di kluster EMR.
[Secure Hadoop RPC](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) diatur ke `privacy` dan menggunakan SASL-based enkripsi dalam transit. Ini mengharuskan otentikasi Kerberos diaktifkan dalam konfigurasi keamanan.
Kami menyarankan agar Anda tidak mengubah port default yang digunakan untuk titik akhir HTTPS.
[Enkripsi data pada transfer blok HDFS menggunakan](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_Block_data_transfer.) AES 256 dan mengharuskan enkripsi saat istirahat diaktifkan dalam konfigurasi keamanan.
Untuk informasi selengkapnya, lihat [Hadoop dalam mode aman di dokumentasi](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) Apache Hadoop.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Namenode | dfs.namenode.https-alamat | 9871 | TLS | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| Namenode | dfs.namenode.rpc-address | 8020 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| Datanode | dfs.datanode.https.address | 9865 | TLS | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| Datanode | dfs.datanode.address | 9866 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| Node Jurnal | dfs.journalnode.https-alamat | 8481 | TLS | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| Node Jurnal | dfs.journalnode.rpc-address | 8485 | SASL\+Kerberos | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
| DFSZKFailoverController | dfs.ha.zkfc.port | 8019 | Tidak ada | TLS untuk ZKFC hanya didukung di Hadoop 3.4.0. Untuk informasi selengkapnya, lihat [HADOOP-18919](https://issues.apache.org/jira/browse/HADOOP-18919). Amazon EMR rilis 7.1.0 saat ini ada di Hadoop 3.3.6. Rilis EMR Amazon yang lebih tinggi ada di Hadoop 3.4.0 di masa depan |
## Hadoop MapReduce
Hadoop MapReduce, server riwayat pekerjaan, dan MapReduce shuffle semua dukungan TLS secara default ketika enkripsi dalam transit diaktifkan di kluster EMR.
Shuffle [ MapReduce terenkripsi Hadoop](https://hadoop.apache.org/docs/r2.7.1/hadoop-mapreduce-client/hadoop-mapreduce-client-core/EncryptedShuffle.html) menggunakan TLS.
Kami menyarankan Anda untuk tidak mengubah port default untuk titik akhir HTTPS.
Untuk informasi selengkapnya, lihat [Hadoop dalam mode aman di dokumentasi](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html) Apache Hadoop.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| JobHistoryServer | mapreduce.jobhistory.webapp.https.address | 19890 | TLS | emr-7.3.0\+ |
| BENANG NodeManager | mapreduce.shuffle.port 1 | 13562 | TLS | emr-4.8.0 \+, emr-5.0.0\+, emr-6.0 \+, emr-7.0.0\+ |
1 `mapreduce.shuffle.port` di-host di YARN NodeManager tetapi hanya digunakan oleh Hadoop MapReduce.
## Presto
[Di Amazon EMR merilis 5.6.0 dan yang lebih tinggi, komunikasi internal antara koordinator Presto dan pekerja menggunakan TLS Amazon EMR menyiapkan semua konfigurasi yang diperlukan untuk mengaktifkan komunikasi internal yang aman di Presto.](https://prestodb.io/docs/current/security/internal-communication.html)
Jika konektor menggunakan metastore Hive sebagai penyimpanan metadata, komunikasi antara komunikator dan metastore Hive juga dienkripsi dengan TLS.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Koordinator Presto | http-server.https.port | 8446 | TLS | emr-5.6.0 \+, emr-6.0 \+, emr-7.0 \+ |
| Pekerja Presto | http-server.https.port | 8446 | TLS | emr-5.6.0 \+, emr-6.0 \+, emr-7.0 \+ |
## Trino
[Di Amazon EMR merilis 6.1.0 dan yang lebih tinggi, komunikasi internal antara koordinator Presto dan pekerja menggunakan TLS Amazon EMR menyiapkan semua konfigurasi yang diperlukan untuk memungkinkan komunikasi internal yang aman di Trino.](https://trino.io/docs/current/security/internal-communication.html)
Jika konektor menggunakan metastore Hive sebagai penyimpanan metadata, komunikasi antara komunikator dan metastore Hive juga dienkripsi dengan TLS.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Koordinator Trino | http-server.https.port | 8446 | TLS | emr-6.1.0 \+, emr-7.0.0\+ |
| Pekerja Trino | http-server.https.port | 8446 | TLS | emr-6.1.0 \+, emr-7.0.0\+ |
## Hive dan Tez
Secara default, server Hive 2, server metastore Hive, UI web Hive LLAP Daemon, dan Hive LLAP mengacak semua dukungan TLS saat enkripsi dalam transit diaktifkan di kluster EMR. Untuk informasi selengkapnya tentang konfigurasi Hive, lihat Properti [konfigurasi](https://cwiki.apache.org/confluence/display/Hive/Configuration+Properties).
UI yang di-host di server Tomcat juga HTTPS-enabled saat enkripsi dalam transit diaktifkan di kluster EMR. Namun, HTTPS dinonaktifkan untuk layanan UI web Tez AM sehingga pengguna AM tidak memiliki akses ke file keystore untuk pembuka SSL listener. Anda juga dapat mengaktifkan perilaku ini dengan konfigurasi `tez.am.tez-ui.webservice.enable.ssl` Boolean dan. `tez.am.tez-ui.webservice.enable.client.auth`
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| HiveServer2 | hive.server2.thrift.port | 10000 | TLS | emr-6.9.0 \+, emr-7.0.0\+ |
| HiveServer2 | hive.server2.thrift.http.port | 10001 | TLS | emr-6.9.0 \+, emr-7.0.0\+ |
| HiveServer2 | hive.server2.webui.port | 10002 | TLS | emr-7.3.0\+ |
| HiveMetastoreServer | hive.metastore.port | 9083 | TLS | emr-7.3.0\+ |
| Daemon LLAP | hive.llap.daemon.yarn.shuffle.port | 15551 | TLS | emr-7.3.0\+ |
| Daemon LLAP | hive.llap.daemon.web.port | 15002 | TLS | emr-7.3.0\+ |
| Daemon LLAP | hive.llap.daemon.output.service.port | 15003 | Tidak ada | Hive tidak mendukung enkripsi dalam perjalanan untuk titik akhir ini |
| Daemon LLAP | hive.llap.management.rpc.port | 15004 | Tidak ada | Hive tidak mendukung enkripsi dalam perjalanan untuk titik akhir ini |
| Daemon LLAP | hive.llap.plugin.rpc.port | Dinamis | Tidak ada | Hive tidak mendukung enkripsi dalam perjalanan untuk titik akhir ini |
| Daemon LLAP | hive.llap.daemon.rpc.port | Dinamis | Tidak ada | Hive tidak mendukung enkripsi dalam perjalanan untuk titik akhir ini |
| WebHCat | templeton.port | 50111 | TLS | emr-7.3.0\+ |
| Master Aplikasi Tez | tez.am.client.am.port-range
tez.am.task.am.port-range | Dinamis | Tidak ada | Tez tidak mendukung enkripsi dalam perjalanan untuk titik akhir ini |
| Master Aplikasi Tez | tez.am.tez-ui.webservice.port-range | Dinamis | Tidak ada | Dinonaktifkan secara default. Dapat diaktifkan menggunakan konfigurasi Tez di emr-7.3.0 \+ |
| Tugas Tez | N/A - tidak dapat dikonfigurasi | Dinamis | Tidak ada | Tez tidak mendukung enkripsi dalam perjalanan untuk titik akhir ini |
| Tez UI | Dapat dikonfigurasi melalui server Tomcat tempat Tez UI di-host | 8080 | TLS | emr-7.3.0\+ |
## Flink
Titik akhir Apache Flink REST dan komunikasi internal antara proses flink mendukung TLS secara default saat Anda mengaktifkan enkripsi dalam transit di kluster EMR.
[https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-internal-enabled)diatur ke `true` dan menggunakan enkripsi dalam transit untuk komunikasi internal antara proses Flink. Jika Anda tidak ingin enkripsi dalam perjalanan untuk komunikasi internal, nonaktifkan konfigurasi itu. Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Amazon EMR menyetel `true` dan [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-rest-enabled)menggunakan enkripsi dalam transit untuk titik akhir REST. Selain itu, Amazon EMR juga menetapkan true [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#historyserver-web-ssl-enabled)untuk menggunakan komunikasi TLS dengan server riwayat Flink. Jika Anda tidak ingin enkripsi dalam perjalanan untuk titik REST, nonaktifkan konfigurasi ini. Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Amazon EMR menggunakan [https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/config/#security-ssl-algorithms). untuk menentukan daftar cipher yang menggunakan enkripsi. AES-based Ganti konfigurasi ini untuk menggunakan cipher yang Anda inginkan.
Untuk informasi selengkapnya, lihat [Pengaturan SSL](https://nightlies.apache.org/flink/flink-docs-release-1.18/docs/deployment/security/security-ssl/) di dokumentasi Flink.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Server Sejarah Flink | historyserver.web.port | 8082 | TLS | emr-7.3.0\+ |
| Server Istirahat Manajer Pekerjaan | rest.bind-port
rest.port | Dinamis | TLS | emr-7.3.0\+ |
## HBase
Amazon EMR menetapkan [Secure Hadoop](https://hadoop.apache.org/docs/r2.7.2/hadoop-project-dist/hadoop-common/SecureMode.html#Data_Encryption_on_RPC) RPC ke. `privacy` HMaster dan RegionServer gunakan SASL-based enkripsi dalam transit. Ini mengharuskan otentikasi Kerberos diaktifkan dalam konfigurasi keamanan.
Amazon EMR disetel `hbase.ssl.enabled` ke true dan menggunakan TLS untuk titik akhir UI. Jika Anda tidak ingin menggunakan TLS untuk titik akhir UI, nonaktifkan konfigurasi ini. Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Amazon EMR menetapkan `hbase.rest.ssl.enabled` dan `hbase.thrift.ssl.enabled` dan menggunakan TLS untuk titik akhir server REST dan Thirft, masing-masing. Jika Anda tidak ingin menggunakan TLS untuk titik akhir ini, nonaktifkan konfigurasi ini. Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Dimulai dengan EMR 7.6.0, TLS didukung pada HMaster dan endpoint. RegionServer Amazon EMR juga menetapkan `hbase.server.netty.tls.enabled` dan. `hbase.client.netty.tls.enabled` Jika Anda tidak ingin menggunakan TLS untuk titik akhir ini, nonaktifkan konfigurasi ini. Kami menyarankan Anda menggunakan konfigurasi default, yang menyediakan enkripsi dan dengan demikian keamanan yang lebih tinggi. Untuk mempelajari lebih lanjut, lihat [Transport Level Security (TLS) dalam komunikasi HBase RPC](https://hbase.apache.org/book.html#_transport_level_security_tls_in_hbase_rpc_communication) di Panduan Referensi *Apache* HBase.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| HMaster | HMaster | 16000 | SASL\+Kerberos
TLS | SASL\+Kerberos di emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, dan emr-7.0.0\+
TLS di emr-7.6.0\+ |
| HMaster | UI HMaster | 16010 | TLS | emr-7.3.0\+ |
| RegionServer | RegionServer | 16020 | SASL\+Kerberos
TLS | SASL\+Kerberos di emr-4.8.0\+, emr-5.0.0\+, emr-6.0.0\+, dan emr-7.0.0\+
TLS di emr-7.6.0\+ |
| RegionServer | RegionServer Info | 16030 | TLS | emr-7.3.0\+ |
| Server Istirahat HBase | Server Istirahat | 8070 | TLS | emr-7.3.0\+ |
| Server Istirahat HBase | UI Istirahat | 8085 | TLS | emr-7.3.0\+ |
| Server Hemat Hbase | Server Hemat | 9090 | TLS | emr-7.3.0\+ |
| Server Hemat Hbase | UI Server Hemat | 9095 | TLS | emr-7.3.0\+ |
## Phoenix
Jika Anda mengaktifkan enkripsi dalam transit di kluster EMR Anda, Phoenix Query Servermendukung `phoenix.queryserver.tls.enabled` properti TLS, yang disetel ke secara default. `true`
Untuk mempelajari lebih lanjut, lihat [Konfigurasi yang berkaitan dengan HTTPS](https://phoenix.apache.org/docs/features/query-server#query-server-configuration) di dokumentasi Phoenix Query Server.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Server Kueri | phoenix.queryserver.http.port | 8765 | TLS | emr-7.3.0\+ |
## Oozie
[OOZIE-3673](https://issues.apache.org/jira/browse/OOZIE-3673)tersedia di Amazon EMR jika Anda menjalankan Oozie di Amazon EMR 7.3.0 dan lebih tinggi. Jika Anda perlu mengonfigurasi protokol SSL atau TLS kustom saat menjalankan tindakan email, Anda dapat mengatur properti `oozie.email.smtp.ssl.protocols` dalam file. `oozie-site.xml` Secara default, jika Anda mengaktifkan enkripsi dalam transit, Amazon EMR menggunakan protokol TLS v1.3.
[OOZIE-3677](https://issues.apache.org/jira/browse/OOZIE-3677)dan juga [OOZIE-3674](https://issues.apache.org/jira/browse/OOZIE-3674)tersedia di Amazon EMR jika Anda menjalankan Oozie di Amazon EMR 7.3.0 dan lebih tinggi. Ini memungkinkan Anda menentukan properti `keyStoreType` dan `trustStoreType` di`oozie-site.xml`. OOZIE-3674 menambahkan parameter `--insecure` ke klien Oozie sehingga dapat mengabaikan kesalahan sertifikat.
Oozie memberlakukan verifikasi nama host TLS, yang berarti bahwa sertifikat apa pun yang Anda gunakan untuk enkripsi dalam perjalanan harus memenuhi persyaratan verifikasi nama host. Jika sertifikat tidak memenuhi kriteria, klaster mungkin macet pada `oozie share lib update` tahap saat Amazon EMR menyediakan klaster. Kami menyarankan Anda memperbarui sertifikat untuk memastikan sertifikat tersebut sesuai dengan verifikasi nama host. Namun, jika Anda tidak dapat memperbarui sertifikat, Anda dapat menonaktifkan SSL untuk Oozie dengan menyetel `oozie.https.enabled` properti ke `false` dalam konfigurasi cluster.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| EmbeddedOozieServer | oozie.https.port | 11443 | TLS | emr-7.3.0\+ |
| EmbeddedOozieServer | oozie.email.smtp.port | 25 | TLS | emr-7.3.0\+ |
## Hue
Secara default, Hue mendukung TLS saat enkripsi dalam transit diaktifkan di kluster EMR Amazon. Untuk informasi selengkapnya tentang konfigurasi Hue, lihat [Mengonfigurasi Hue dengan HTTPS](https://gethue.com/configure-hue-with-https-ssl/)/SSL.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Hue | http\_port | 8888 | TLS | emr-7.4.0\+ |
## Livy
Secara default, Livy mendukung TLS saat enkripsi dalam transit diaktifkan di kluster EMR Amazon. Untuk informasi selengkapnya tentang konfigurasi Livy, lihat [Mengaktifkan HTTPS dengan](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html) Apache Livy.
Dimulai dengan Amazon EMR 7.3.0, jika Anda menggunakan enkripsi dalam transit dan otentikasi Kerberos, Anda tidak dapat menggunakan server Livy untuk aplikasi Spark yang bergantung pada metastore Hive. Masalah ini telah diperbaiki [HIVE-16340](https://issues.apache.org/jira/browse/HIVE-16340)dan sepenuhnya diselesaikan [SPARK-44114](https://issues.apache.org/jira/browse/SPARK-44114)ketika aplikasi Spark sumber terbuka dapat ditingkatkan ke Hive 3. Sementara itu, Anda dapat mengatasi masalah ini jika Anda `hive.metastore.use.SSL` menyetelnya. `false` Untuk informasi selengkapnya, lihat [Mengkonfigurasi aplikasi](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/emr-configure-apps.html).
Untuk informasi selengkapnya, lihat [mengaktifkan HTTPS dengan Apache Livy](https://docs.aws.amazon.com/emr/latest/ReleaseGuide/enabling-https.html).
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| livy-server | livy.server.port | 8998 | TLS | emr-7.4.0\+ |
## JupyterEnterpriseGateway
Secara default, Jupyter Enterprise Gateway mendukung TLS saat enkripsi dalam transit diaktifkan di kluster EMR Amazon. Untuk informasi selengkapnya tentang konfigurasi Jupyter Enterprise Gateway, lihat [Mengamankan](https://jupyter-enterprise-gateway.readthedocs.io/en/v1.2.0/getting-started-security.html#securing-enterprise-gateway-server) Server Gateway Perusahaan.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| jupyter\_enterprise\_gateway | c. EnterpriseGatewayApp.port | 9547 | TLS | emr-7.4.0\+ |
## JupyterHub
Secara default, JupyterHub mendukung TLS saat enkripsi dalam transit diaktifkan di kluster EMR Amazon. Untuk informasi selengkapnya, lihat [Mengaktifkan enkripsi SSL](https://jupyterhub.readthedocs.io/en/latest/tutorial/getting-started/security-basics.html#enabling-ssl-encryption) dalam dokumentasi. JupyterHub Tidak disarankan untuk menonaktifkan enkripsi.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| jupyter\_hub | c. JupyterHub.port | 9443 | TLS | emr-5.14.0 \+, emr-6.0 \+, emr-7.0 \+ |
## Zeppelin
Secara default, Zeppelin mendukung TLS saat Anda mengaktifkan enkripsi dalam transit di kluster EMR Anda. Untuk informasi selengkapnya tentang konfigurasi Zeppelin, lihat Konfigurasi [SSL](https://zeppelin.apache.org/docs/0.11.1/setup/operation/configuration.html#ssl-configuration) dalam dokumentasi Zeppelin.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| zeppelin | zeppelin.server.ssl.port | 8890 | TLS | 7.3.0\+ |
## Zookeeper
Amazon EMR menetapkan `serverCnxnFactory` untuk mengaktifkan TLS `org.apache.zookeeper.server.NettyServerCnxnFactory` untuk kuorum Zookeeper dan komunikasi klien.
`secureClientPort`menentukan port yang mendengarkan koneksi TLS. Jika klien tidak mendukung koneksi TLS ke Zookeeper, klien dapat terhubung ke port tidak aman 2181 yang ditentukan dalam. `clientPort` Anda dapat mengganti atau menonaktifkan kedua port ini.
Amazon EMR menetapkan keduanya `sslQuorum` dan `admin.forceHttps` untuk mengaktifkan komunikasi TLS `true` untuk kuorum dan server admin. Jika Anda tidak ingin enkripsi dalam transit untuk kuorum dan server admin, Anda dapat menonaktifkan konfigurasi tersebut. Kami menyarankan Anda menggunakan konfigurasi default untuk keamanan maksimum.
Untuk informasi selengkapnya, lihat [Opsi Enkripsi, Otentikasi, Otorisasi dalam dokumentasi](https://zookeeper.apache.org/doc/r3.9.2/zookeeperAdmin.html#sc_authOptions) Zookeeper.
| Komponen | Titik akhir | Port | In-Transit Mekanisme Enkripsi | Didukung dari Rilis |
| --- | --- | --- | --- | --- |
| Server Penjaga Kebun Binatang | aman ClientPort | 2281 | TLS | emr-7.4.0\+ |
| Server Penjaga Kebun Binatang | Pelabuhan Kuorum | Ada 2:
Pengikut menggunakan 2888 untuk terhubung ke pemimpin.
Pemilu pemimpin menggunakan 3888 | TLS | emr-7.4.0\+ |
| Server Penjaga Kebun Binatang | admin.ServerPort | 8341 | TLS | emr-7.4.0\+ |