HDInsight on AKS에 필요한 아웃바운드 트래픽
참고 항목
2025년 1월 31일에 Azure HDInsight on AKS가 사용 중지됩니다. 2025년 1월 31일 이전에 워크로드가 갑자기 종료되지 않도록 워크로드를 Microsoft Fabric 또는 동등한 Azure 제품으로 마이그레이션해야 합니다. 구독의 나머지 클러스터는 호스트에서 중지되고 제거됩니다.
사용 중지 날짜까지 기본 지원만 사용할 수 있습니다.
Important
이 기능은 현지 미리 보기로 제공됩니다. Microsoft Azure 미리 보기에 대한 보충 사용 약관에는 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 더 많은 약관이 포함되어 있습니다. 이 특정 미리 보기에 대한 자세한 내용은 Azure HDInsight on AKS 미리 보기 정보를 참조하세요. 질문이나 기능 제안이 있는 경우 세부 정보와 함께 AskHDInsight에 요청을 제출하고 Azure HDInsight 커뮤니티에서 추가 업데이트를 보려면 팔로우하세요.
참고 항목
HDInsight on AKS는 기본적으로 Azure CNI 오버레이 네트워크 모델을 사용합니다. 자세한 내용은 Azure CNI 오버레이 네트워킹을 참조하세요.
이 문서에서는 HDInsight on AKS의 원활한 작동을 위해 엔터프라이즈에서 네트워크 정책을 관리하고 NSG(네트워크 보안 그룹)에 필요한 변경을 수행하는 데 도움이 되는 네트워킹 정보를 간략하게 설명합니다.
방화벽을 사용하여 HDInsight on AKS 클러스터에 대한 아웃바운드 트래픽을 제어하는 경우 클러스터가 중요한 Azure 서비스와 통신할 수 있어야 합니다. 해당 서비스의 일부 보안 규칙은 지역에 따라 다르고 그 중 일부는 모든 Azure 지역에 적용됩니다.
아웃바운드 트래픽을 허용하도록 방화벽에서 다음 네트워크 및 애플리케이션 보안 규칙을 구성해야 합니다.
일반 트래픽
| Type | 대상 엔드포인트 | 프로토콜 | Port | Azure Firewall 규칙 유형 | 사용 |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | 네트워크 보안 규칙 | 노드와 컨트롤 플레인 간에 터널링된 보안 통신 |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | 네트워크 보안 규칙 | 노드와 컨트롤 플레인 간에 터널링된 보안 통신 |
| FQDN 태그 | AzureKubernetesService | HTTPS | 443 | 애플리케이션 보안 규칙 | AKS 서비스에 필요합니다. |
| 서비스 태그 | AzureMonitor | TCP | 443 | 네트워크 보안 규칙 | Azure Monitor와의 통합에 필요합니다. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | 애플리케이션 보안 규칙 | HDInsight on AKS 설정 및 모니터링을 위해 Docker 이미지의 메타데이터 정보를 다운로드합니다. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | 애플리케이션 보안 규칙 | HDInsight on AKS의 모니터링 및 설정 |
| FQDN | graph.microsoft.com | HTTPS | 443 | 애플리케이션 보안 규칙 | 인증. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | 애플리케이션 보안 규칙 | 모니터링. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | 애플리케이션 보안 규칙 | 모니터링. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 애플리케이션 보안 규칙 | 모니터링. |
| ** FQDN | API Server FQDN(AKS 클러스터가 생성되면 사용 가능) | TCP | 443 | 네트워크 보안 규칙 | 실행 중인 Pod/배포가 API 서버에 액세스하는 데 사용하므로 필요합니다. 클러스터 풀 뒤에서 실행되는 AKS 클러스터에서 이 정보를 가져올 수 있습니다. 자세한 내용은 Azure Portal을 사용하여 API Server FQDN을 가져오는 방법을 참조하세요. |
참고 항목
** 프라이빗 AKS를 사용하도록 설정하는 경우에는 이 구성이 필요하지 않습니다.
클러스터별 트래픽
아래 섹션에서는 기업이 네트워크 규칙을 적절하게 계획하고 업데이트하는 데 도움이 될 수 있도록 클러스터 셰이프에 필요한 특정 네트워크 트래픽을 간략하게 설명합니다.
Trino
| Type | 대상 엔드포인트 | 프로토콜 | Port | Azure Firewall 규칙 유형 | 사용할 용어 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | 애플리케이션 보안 규칙 | Hive를 사용하도록 설정된 경우 필요합니다. 사용자 고유 스토리지 계정(예: contosottss.dfs.core.windows.net) |
| FQDN | *.database.windows.net | mysql | 1433 | 애플리케이션 보안 규칙 | Hive를 사용하도록 설정된 경우 필요합니다. 사용자 고유 SQL 서버(예: contososqlserver.database.windows.net) |
| 서비스 태그 | Sql.<Region> |
TCP | 11000-11999 | 네트워크 보안 규칙 | Hive를 사용하도록 설정된 경우 필요합니다. SQL Server에 연결하는 데 사용됩니다. 11000~11999 범위의 포트에서 클라이언트로부터 지역의 모든 Azure SQL IP 주소로 아웃바운드 통신을 허용하는 것이 좋습니다. SQL에 서비스 태그를 사용하여 이 프로세스를 더 쉽게 관리할 수 있습니다. 리디렉션 연결 정책을 사용하는 경우 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드를 참조하여 허용할 지역의 IP 주소 목록을 확인합니다. |
Spark
| Type | 대상 엔드포인트 | 프로토콜 | Port | Azure Firewall 규칙 유형 | 사용할 용어 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | 애플리케이션 보안 규칙 | Spark Azure Data Lake Storage Gen2. 사용자의 스토리지 계정(예: contosottss.dfs.core.windows.net) |
| 서비스 태그 | Storage.<Region> |
TCP | 445 | 네트워크 보안 규칙 | SMB 프로토콜을 사용하여 Azure 파일에 연결 |
| FQDN | *.database.windows.net | mysql | 1433 | 애플리케이션 보안 규칙 | Hive를 사용하도록 설정된 경우 필요합니다. 사용자 고유 SQL 서버(예: contososqlserver.database.windows.net) |
| 서비스 태그 | Sql.<Region> |
TCP | 11000-11999 | 네트워크 보안 규칙 | Hive를 사용하도록 설정된 경우 필요합니다. SQL Server에 연결하는 데 사용됩니다. 11000~11999 범위의 포트에서 클라이언트로부터 지역의 모든 Azure SQL IP 주소로 아웃바운드 통신을 허용하는 것이 좋습니다. SQL에 서비스 태그를 사용하여 이 프로세스를 더 쉽게 관리할 수 있습니다. 리디렉션 연결 정책을 사용하는 경우 Azure IP 범위 및 서비스 태그 – 퍼블릭 클라우드를 참조하여 허용할 지역의 IP 주소 목록을 확인합니다. |
Apache Flink
| Type | 대상 엔드포인트 | 프로토콜 | Port | Azure Firewall 규칙 유형 | 사용할 용어 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | 애플리케이션 보안 규칙 | Flink Azure Data Lake Storage Gens. 사용자의 스토리지 계정(예: contosottss.dfs.core.windows.net) |