本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS PCS 中的安全群組
Amazon EC2 中的安全群組充當虛擬防火牆,以控制執行個體的傳入和傳出流量。使用 AWS PCS 運算節點群組的啟動範本來新增或移除其執行個體的安全群組。如果您的啟動範本不包含任何網路介面,請使用 `SecurityGroupIds`提供安全群組的清單。如果您的啟動範本定義網路介面,您必須使用 `Groups` 參數將安全群組指派給每個網路介面。如需啟動範本的詳細資訊,請參閱 [搭配 AWS PCS 使用 Amazon EC2 啟動範本](working-with_launch-templates.md)。
**注意**
對啟動範本中安全群組組態的變更只會影響運算節點群組更新後啟動的新執行個體。
## 安全群組需求和考量事項
AWS PCS 會在您在建立叢集時指定的子網路中建立跨帳戶[彈性網路界面 (ENI)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)。這提供 HPC 排程器,其正在由 管理的帳戶中執行 AWS,這是與 AWS PCS 啟動的 EC2 執行個體通訊的路徑。您必須提供該 ENI 的安全群組,允許排程器 ENI 和叢集 EC2 執行個體之間的雙向通訊。
達成此目標的直接方式是建立寬鬆的自我參考安全群組,允許群組所有成員之間所有連接埠上的 TCP/IP 流量。您可以將此連接到叢集和節點群組 EC2 執行個體。
### 允許的安全群組組態範例
------
#### [ IPv4 ]
| 規則類型 | 通訊協定 | 連接埠 | 來源 | 目標 |
| --- | --- | --- | --- | --- |
| 傳入 | 全部 | 全部 | Self | |
| 傳出 | 全部 | 全部 | | 0.0.0.0/0 |
| 傳出 | 全部 | 全部 | | Self |
------
#### [ IPv6 ]
| 規則類型 | 通訊協定 | 連接埠 | 來源 | 目標 |
| --- | --- | --- | --- | --- |
| 傳入 | 全部 | 全部 | Self | |
| 傳出 | 全部 | 全部 | | ::/0 |
| 傳出 | 全部 | 全部 | | Self |
------
這些規則允許所有流量在 Slurm 控制器和節點之間自由流動,允許所有傳出流量流向任何目的地,並啟用 [EFA 流量](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security)。
### 限制性安全群組組態範例
您也可以限制叢集及其運算節點之間的開放連接埠。對於 Slurm 排程器,連接至叢集的安全群組必須允許下列連接埠:
+ 6817 – 啟用`slurmctld`從 EC2 執行個體到 的傳入連線
+ 6818 – 啟用從 `slurmctld` 到 EC2 執行個體`slurmd`上執行的傳出連線
連接至運算節點的安全群組必須允許下列連接埠:
+ 6817 – 啟用`slurmctld`從 EC2 執行個體到 的傳出連線。
+ 6818 – 在節點群組執行個體`slurmd`上啟用往返 `slurmd``slurmctld`的傳入和傳出連線
+ 60001–63000 – 要支援的節點群組執行個體之間的傳入和傳出連線 `srun`
+ 節點群組執行個體之間的 EFA 流量。如需詳細資訊,請參閱《*Linux 執行個體使用者指南*》中的[準備啟用 EFA 的安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security)
+ 工作負載所需的任何其他節點間流量