의 보안 그룹 AWS PCS

Amazon의 보안 그룹은 인스턴스로의 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 EC2 역할을 합니다. AWS PCS컴퓨팅 노드 그룹의 시작 템플릿을 사용하여 인스턴스에 보안 그룹을 추가하거나 제거합니다. 시작 템플릿에 네트워크 인터페이스가 없는 경우 SecurityGroupIds 를 사용하여 보안 그룹 목록을 제공하십시오. 시작 템플릿이 네트워크 인터페이스를 정의하는 경우 Groups 파라미터를 사용하여 각 네트워크 인터페이스에 보안 그룹을 할당해야 합니다. 시작 템플릿에 대한 자세한 내용은 Amazon EC2 시작 템플릿을 다음과 같이 사용하기 AWS PCS의 내용을 참조하세요.

참고

시작 템플릿의 보안 그룹 구성 변경 사항은 컴퓨팅 노드 그룹이 업데이트된 후 시작된 새 인스턴스에만 영향을 줍니다.

보안 그룹 요구 사항 및 고려 사항

AWS PCS클러스터를 생성할 때 지정한 서브넷에 계정 간 엘라스틱 네트워크 인터페이스 (ENI) 를 생성합니다. 이렇게 하면 에서 관리하는 계정에서 실행되는 HPC 스케줄러가 에서 시작한 EC2 인스턴스와 통신할 수 있는 경로가 제공됩니다. AWS AWS PCS ENI스케줄러와 클러스터 인스턴스 간의 양방향 통신을 ENI 허용하는 보안 그룹을 제공해야 합니다. EC2

이를 수행하는 간단한 방법은 그룹의 모든 구성원 간에 모든 포트에서 TCP /IP 트래픽을 허용하는 허용적인 자체 참조 보안 그룹을 만드는 것입니다. 이를 클러스터와 노드 그룹 인스턴스 모두에 연결할 수 있습니다. EC2

허용적 보안 그룹 구성의 예

규칙 타입	프로토콜	포트	소스	대상
인바운드	모두	모두	본인
아웃바운드	모두	모두		0.0.0.0/0
아웃바운드	모두	모두		본인

이 규칙은 Slurm 컨트롤러와 노드 간에 모든 트래픽이 자유롭게 흐르도록 허용하고, 모든 아웃바운드 트래픽을 모든 목적지로 허용하고, 트래픽을 활성화합니다. EFA

제한적 보안 그룹 구성의 예

클러스터와 해당 컴퓨팅 노드 사이의 열린 포트를 제한할 수도 있습니다. Slurm 스케줄러의 경우 클러스터에 연결된 보안 그룹이 다음 포트를 허용해야 합니다.

• 6817 - 인스턴스로부터의 인바운드 연결을 활성화합니다. slurmctld EC2

• 6818 — 인스턴스에서 slurmctld 실행되도록 아웃바운드 연결을 활성화합니다. slurmd EC2

컴퓨팅 노드에 연결된 보안 그룹은 다음 포트를 허용해야 합니다.

• 6817 - 인스턴스와의 아웃바운드 연결을 활성화합니다slurmctld. EC2

• 6818 — 노드 그룹 인스턴스와의 인바운드 및 아웃바운드 연결을 활성화합니다slurmd. slurmctld slurmd

• 60001—63000 — 노드 그룹 인스턴스 간의 인바운드 및 아웃바운드 연결 지원 srun

• EFA노드 그룹 인스턴스 간 트래픽. 자세한 내용은 Linux 인스턴스용 사용 설명서의 EFA -enabled 보안 그룹 준비를 참조하십시오.

• 워크로드에 필요한 기타 모든 노드 간 트래픽