NSG를 사용하여 HDInsight on AKS로의 트래픽 제한
참고 항목
2025년 1월 31일에 Azure HDInsight on AKS가 사용 중지됩니다. 2025년 1월 31일 이전에 워크로드가 갑자기 종료되지 않도록 워크로드를 Microsoft Fabric 또는 동등한 Azure 제품으로 마이그레이션해야 합니다. 구독의 나머지 클러스터는 호스트에서 중지되고 제거됩니다.
사용 중지 날짜까지 기본 지원만 사용할 수 있습니다.
Important
이 기능은 현지 미리 보기로 제공됩니다. Microsoft Azure 미리 보기에 대한 보충 사용 약관에는 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 더 많은 약관이 포함되어 있습니다. 이 특정 미리 보기에 대한 자세한 내용은 Azure HDInsight on AKS 미리 보기 정보를 참조하세요. 질문이나 기능 제안이 있는 경우 AskHDInsight에서 세부 정보와 함께 요청을 제출하고 Azure HDInsight 커뮤니티에서 더 많은 업데이트를 확인하세요.
HDInsight on AKS는 AKS 아웃바운드 종속성을 사용하며 뒤에 고정 주소가 없는 FQDN으로 완전히 정의됩니다. 고정 IP 주소가 없다는 것은 NSG(네트워크 보안 그룹)를 사용하여 IP를 사용하는 클러스터의 아웃바운드 트래픽을 잠글 수 없다는 것을 의미합니다.
NSG를 사용하여 트래픽을 보호하려는 경우 NSG에서 다음 규칙을 구성하여 성긴 컨트롤을 수행해야 합니다.
NSG에서 보안 규칙을 만드는 방법을 알아봅니다.
아웃바운드 보안 규칙(송신 트래픽)
일반 트래픽
대상 | 대상 엔드포인트 | 프로토콜 | Port |
---|---|---|---|
서비스 태그 | AzureCloud.<Region> |
UDP | 1194 |
서비스 태그 | AzureCloud.<Region> |
TCP | 9000 |
모두 | * | TCP | 443, 80 |
클러스터별 트래픽
이 섹션에서는 엔터프라이즈에서 적용할 수 있는 클러스터별 트래픽에 대해 간략하게 설명합니다.
Trino
대상 | 대상 엔드포인트 | 프로토콜 | 포트 |
---|---|---|---|
모두 | * | TCP | 1433 |
서비스 태그 | Sql.<Region> |
TCP | 11000-11999 |
Spark
대상 | 대상 엔드포인트 | 프로토콜 | 포트 |
---|---|---|---|
모두 | * | TCP | 1433 |
서비스 태그 | Sql.<Region> |
TCP | 11000-11999 |
서비스 태그 | Storage.<Region> |
TCP | 445 |
Apache Flink
없음
인바운드 보안 규칙(수신 트래픽)
클러스터가 만들어지면 특정 수신 공용 IP도 생성됩니다. 요청을 클러스터로 보낼 수 있도록 하려면 포트 80 및 443을 사용하여 이러한 공용 IP에 대한 트래픽을 허용 목록에 추가해야 합니다.
다음 Azure CLI 명령은 수신 공용 IP를 가져오는 데 도움이 될 수 있습니다.
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
원본 | 원본 IP 주소/CIDR 범위 | 프로토콜 | 포트 |
---|---|---|---|
IP 주소 | <Public IP retrieved from above command> |
TCP | 80 |
IP 주소 | <Public IP retrieved from above command> |
TCP | 443 |