NSG를 사용하여 AKS의 HDInsight로 트래픽 제한

중요하다

AKS의 Azure HDInsight는 2025년 1월 31일에 사용 중지되었습니다. 이 공지 에 대한 자세한 내용을에서 확인하세요.

워크로드가 갑자기 종료되는 것을 방지하기 위해 워크로드를 Microsoft Fabric 또는 동등한 Azure 제품으로 워크로드를 마이그레이션해야 합니다.

중요하다

이 기능은 현재 미리 보기로 제공됩니다. Microsoft Azure Preview에 대한 추가 사용 약관은 베타, 미리 보기 또는 아직 일반 공개되지 않은 Azure 기능에 적용되는 더 많은 법적 조건이 포함되어 있습니다. 이 특정 미리 보기에 대한 자세한 내용은 AKS의 Azure HDInsight 미리 보기 정보을 참조하세요. 질문이나 기능 제안을 하려면 AskHDInsight에 요청을 제출해 주시고, 자세한 업데이트를 받으려면 Azure HDInsight Community를 팔로우해 주세요.

AKS의 HDInsight는 AKS 아웃바운드 종속성을 사용하며 FQDN으로 완전히 정의되며, 이 종속성에는 정적 주소가 없습니다. 고정 IP 주소가 없으면 NSG(네트워크 보안 그룹)를 사용하여 IP를 사용하여 클러스터의 아웃바운드 트래픽을 잠글 수 없습니다.

NSG를 사용하여 트래픽을 보호하려는 경우 NSG에서 다음 규칙을 구성하여 거친 컨트롤을 수행해야 합니다.

NSG 에서 보안 규칙을 만드는 방법을알아봅니다.

아웃바운드 보안 규칙(출구 트래픽)

일반 트래픽

목적지	대상 엔드포인트	프로토콜	항구
서비스 태그	AzureCloud.<Region>	UDP	1194
서비스 태그	AzureCloud.<Region>	TCP	9000
어떤	*	TCP	443, 80

클러스터별 트래픽

이 섹션에서는 엔터프라이즈에서 적용할 수 있는 클러스터별 트래픽에 대해 간략하게 설명합니다.

트리노 ()

목적지	대상 엔드포인트	프로토콜	항구
어떤	*	TCP	1433
서비스 태그	Sql.<Region>	TCP	11000-11999

스파크

목적지	대상 엔드포인트	프로토콜	항구
어떤	*	TCP	1433
서비스 태그	Sql.<Region>	TCP	11000-11999
서비스 태그	보관.<Region>	TCP	445

Apache Flink

없음

인바운드 보안 규칙(수신 트래픽)

클러스터가 생성되면 특정한 인그레스 공용 IP도 생성됩니다. 요청을 클러스터로 보낼 수 있도록 하려면 포트 80 및 443을 사용하여 이러한 공용 IP에 대한 트래픽을 허용 목록에 추가해야 합니다.

다음 Azure CLI 명령은 인그레스 공용 IP를 가져오는 데 도움이 될 수 있습니다.

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table

근원	원본 IP 주소/CIDR 범위	프로토콜	항구
IP 주소	<Public IP retrieved from above command>	TCP	80
IP 주소	<Public IP retrieved from above command>	TCP	443