보안 그룹에서 네트워크 트래픽 제어 - Amazon EMR

보안 그룹에서 네트워크 트래픽 제어

보안 그룹은 클러스터의 EC2 인스턴스에 대한 가상 방화벽 역할을 하여 인바운드 및 아웃바운드 트래픽을 제어합니다. 각 보안 그룹에는 인바운드 트래픽을 제어하는 일련의 규칙과 아웃바운드 트래픽을 제어하는 별도의 규칙 집합이 있습니다. 자세한 정보는 Linux 인스턴스용 Amazon EC2 사용 설명서Linux 인스턴스에 대한 Amazon EC2 보안 그룹을 참조하세요.

Amazon EMR에서는 두 가지 보안 그룹 클래스(Amazon EMR 관리형 보안 그룹추가 보안 그룹)를 사용합니다.

모든 클러스터에는 연관된 보안 그룹이 있습니다. Amazon EMR에서 생성하는 기본 관리형 보안 그룹을 사용하거나 사용자 지정 관리형 보안 그룹을 지정할 수 있습니다. 어느 보안 그룹을 사용하든지 Amazon EMR은 클러스터가 클러스터 인스턴스와 AWS 서비스 간에 통신해야 하는 관리형 보안 그룹에 규칙을 자동으로 추가합니다.

추가 보안 그룹은 선택 사항입니다. 클러스터 인스턴스에 대한 액세스를 조정하기 위해 관리형 보안 그룹 외에 추가 보안 그룹을 지정할 수 있습니다. 추가 보안 그룹에는 사용자가 정의한 규칙만 포함됩니다. Amazon EMR은 이를 수정하지 않습니다.

Amazon EMR이 관리형 보안 그룹에서 작성한 규칙은 클러스터가 내부 구성 요소 간에 통신할 수 있도록 허용합니다. 사용자와 애플리케이션이 클러스터 외부의 클러스터에 액세스할 수 있게 하려면 관리형 보안 그룹의 규칙을 편집하거나 추가 규칙을 사용하여 추가 보안 그룹을 생성하거나 둘 다 수행할 수 있습니다.

중요

관리형 보안 그룹의 규칙을 편집할 경우 의도하지 않은 결과를 초래할 수 있습니다. 노드에 연결할 수 없어 클러스터가 제대로 작동하는 데 필요한 트래픽을 차단하여 오류를 일으킬 수 있습니다. 구현 전에 보안 그룹 구성을 신중하게 계획하고 테스트하십시오.

클러스터를 생성할 때만 보안 그룹을 지정할 수 있습니다. 클러스터 실행 중에는 클러스터 또는 클러스터 인스턴스에 추가할 수 없지만 기존 보안 그룹에서 규칙을 편집, 추가 및 제거할 수는 있습니다. 규칙은 저장하는 즉시 적용됩니다.

보안 그룹은 기본적으로 제한적입니다. 트래픽을 허용하는 규칙이 추가되지 않으면 트래픽이 거부됩니다. 동일한 트래픽 및 동일한 소스에 적용되는 규칙이 둘 이상인 경우 가장 엄격한 규칙이 적용됩니다. 예를 들어 IP 주소 192.0.2.12/32에서 SSH를 허용하는 규칙과 192.0.2.0/24 범위의 모든 TCP 트래픽에 대한 액세스를 허용하는 규칙이 있는 경우 192.0.2.12를 포함하는 범위의 모든 TCP 트래픽을 허용하는 규칙이 우선합니다. 이 경우 192.0.2.12의 클라이언트가 의도한 것보다 더 많은 액세스 권한을 가질 수 있습니다.

중요

보안 그룹 규칙을 편집하여 포트를 열 때 주의해야 합니다. 워크로드를 실행하는 데 필요한 프로토콜 및 포트에 대해 신뢰할 수 있는 인증된 클라이언트의 트래픽만 허용하는 규칙을 추가해야 합니다.

규칙이 예외 목록에 추가하지 않은 포트에서의 퍼블릭 액세스를 허용하는 경우, 사용 중인 각 리전에서 Amazon EMR 퍼블릭 액세스 차단을 구성하여 클러스터 생성을 방지할 수 있습니다. 2019년 7월 이후에 생성된 AWS 계정의 경우 Amazon EMR 퍼블릭 액세스 차단이 기본적으로 설정되어 있습니다. 2019년 7월 이전에 클러스터를 생성한 AWS 계정의 경우 Amazon EMR 퍼블릭 액세스 차단이 기본적으로 해제되어 있습니다. 자세한 내용은 Amazon EMR 퍼블릭 액세스 차단 사용 섹션을 참조하세요.

주제
참고

Amazon EMR은 '마스터' 및 '슬레이브'와 같이 잠재적으로 불쾌감을 주거나 포괄적이지 않은 업계 용어에 대해 포괄적인 대안을 사용하는 것을 목표로 합니다. 보다 포괄적인 경험을 제공하고 서비스 구성 요소에 대한 이해를 돕기 위해 새로운 용어로 바꾸었습니다.

이제 '노드'를 인스턴스로 기술하고 Amazon EMR 인스턴스 유형을 프라이머리, 코어태스크 인스턴스로 기술합니다. 전환 중에도 Amazon EMR의 보안 그룹과 관련된 용어와 같이 오래된 용어에 대한 레거시 참조를 계속 찾을 수 있습니다.