다음을 통해 공유

NSG를 사용하여 HDInsight on AKS로의 트래픽 제한

  • 아티클

참고 항목

2025년 1월 31일에 Azure HDInsight on AKS가 사용 중지됩니다. 2025년 1월 31일 이전에 워크로드가 갑자기 종료되지 않도록 워크로드를 Microsoft Fabric 또는 동등한 Azure 제품으로 마이그레이션해야 합니다. 구독의 나머지 클러스터는 호스트에서 중지되고 제거됩니다.

Important

이 기능은 현지 미리 보기로 제공됩니다. Microsoft Azure 미리 보기에 대한 보충 사용 약관에는 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 더 많은 약관이 포함되어 있습니다. 이 특정 미리 보기에 대한 자세한 내용은 Azure HDInsight on AKS 미리 보기 정보를 참조하세요. 질문이나 기능 제안이 있는 경우 AskHDInsight에서 세부 정보와 함께 요청을 제출하고 Azure HDInsight 커뮤니티에서 더 많은 업데이트를 확인하세요.

HDInsight on AKS는 AKS 아웃바운드 종속성을 사용하며 뒤에 고정 주소가 없는 FQDN으로 완전히 정의됩니다. 고정 IP 주소가 없다는 것은 NSG(네트워크 보안 그룹)를 사용하여 IP를 사용하는 클러스터의 아웃바운드 트래픽을 잠글 수 없다는 것을 의미합니다.

NSG를 사용하여 트래픽을 보호하려는 경우 NSG에서 다음 규칙을 구성하여 성긴 컨트롤을 수행해야 합니다.

NSG에서 보안 규칙을 만드는 방법을 알아봅니다.

아웃바운드 보안 규칙(송신 트래픽)

일반 트래픽

대상 대상 엔드포인트 프로토콜 Port
서비스 태그 AzureCloud.<Region> UDP 1194
서비스 태그 AzureCloud.<Region> TCP 9000
모두 * TCP 443, 80

클러스터별 트래픽

이 섹션에서는 엔터프라이즈에서 적용할 수 있는 클러스터별 트래픽에 대해 간략하게 설명합니다.

Trino

대상 대상 엔드포인트 프로토콜 포트
모두 * TCP 1433
서비스 태그 Sql.<Region> TCP 11000-11999

Spark

대상 대상 엔드포인트 프로토콜 포트
모두 * TCP 1433
서비스 태그 Sql.<Region> TCP 11000-11999
서비스 태그 Storage.<Region> TCP 445

없음

인바운드 보안 규칙(수신 트래픽)

클러스터가 만들어지면 특정 수신 공용 IP도 생성됩니다. 요청을 클러스터로 보낼 수 있도록 하려면 포트 80 및 443을 사용하여 이러한 공용 IP에 대한 트래픽을 허용 목록에 추가해야 합니다.

다음 Azure CLI 명령은 수신 공용 IP를 가져오는 데 도움이 될 수 있습니다.

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
원본 원본 IP 주소/CIDR 범위 프로토콜 포트
IP 주소 <Public IP retrieved from above command>  TCP 80
IP 주소 <Public IP retrieved from above command>  TCP 443