기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
전송 중 암호화 이해
Apache Spark, Apache
EMR 클러스터에서 전송 중 암호화가 활성화된 경우 서로 다른 네트워크 엔드포인트는 서로 다른 암호화 메커니즘을 사용합니다. 전송 중 암호화로 지원되는 특정 오픈 소스 프레임워크 네트워크 엔드포인트, 관련 암호화 메커니즘 및 지원을 추가한 Amazon EMR 릴리스에 대해 자세히 알아보려면 다음 섹션을 참조하세요. 각 오픈 소스 애플리케이션에는 변경할 수 있는 오픈 소스 프레임워크 구성과 다양한 모범 사례가 있을 수 있습니다.
전송 중 데이터 암호화 적용 범위를 최대한으로 보장하려면 전송 중 데이터 암호화 및 Kerberos를 모두 활성화하는 것이 좋습니다. 전송 중 암호화만 활성화하면를 지원하는 네트워크 엔드포인트에서만 전송 중 암호화를 사용할 수 있습니다TLS. 일부 오픈 소스 프레임워크 네트워크 엔드포인트는 전송 중 암호화를 위해 Simple Authentication and Security Layer(SASL)를 사용하기 때문에 Kerberos가 필요합니다.
Amazon EMR 7.x.x 릴리스에서 지원되지 않는 오픈 소스 프레임워크는 포함되지 않습니다.
Spark
보안 구성에서 전송 중 암호화를 활성화하면 spark.authenticate가 자동으로 로 설정true되고 RPC 연결에 AES기반 암호화를 사용합니다.
Amazon EMR 7.3.0부터는 전송 중 암호화 및 Kerberos 인증을 사용하는 경우 Hive 메타스토어에 의존하는 Spark 애플리케이션을 사용할 수 없습니다. Hive 3는 HIVE-16340hive.metastore.use.SSL을 false로 설정하여 이 문제를 해결할 수 있습니다. 자세한 내용은 애플리케이션 구성을 참조하세요.
자세한 내용은 Apache Spark 설명서의 Spark security
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Spark 기록 서버 |
spark.ssl.history.port |
18480 |
TLS |
emr-5.3.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Spark UI |
spark.ui.port |
4440 |
TLS |
emr-5.3.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Spark 드라이버 |
spark.driver.port |
동적 |
Spark AES기반 암호화 |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Spark 실행기 |
실행기 포트(명명된 구성 없음) |
동적 |
Spark AES기반 암호화 |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
YARN NodeManager |
spark.shuffle.service.port1 |
7337 |
Spark AES기반 암호화 |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
1spark.shuffle.service.port은에서 호스팅YARN NodeManager 되지만 Apache Spark에서만 사용됩니다.
하둡 YARN
Secure HadoopRPCprivacy되며 SASL기반 전송 중 암호화를 사용합니다. 이렇게 하려면 보안 구성에서 Kerberos 인증을 활성화해야 합니다. Hadoop에 대한 전송 중 암호화를 원하지 않는 경우 RPC를 구성합니다hadoop.rpc.protection = authentication. 보안을 극대화하려면 기본 구성을 사용하는 것이 좋습니다.
TLS 인증서가 TLS 호스트 이름 확인 요구 사항을 충족하지 못하는 경우를 구성할 수 있습니다hadoop.ssl.hostname.verifier = ALLOW_ALL. TLS 호스트 이름 확인을 적용하는의 기본 구성을 사용하는 hadoop.ssl.hostname.verifier = DEFAULT것이 좋습니다.
YARN 웹 애플리케이션 엔드포인트에 HTTPS 대해를 비활성화하려면를 구성합니다yarn.http.policy = HTTP_ONLY. 이 경우 이러한 엔드포인트에 대한 트래픽이 암호화되지 않은 상태로 유지됩니다. 보안을 극대화하려면 기본 구성을 사용하는 것이 좋습니다.
자세한 내용은 Apache Hadoop 설명서에서 Hadoop in secure mode
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
ResourceManager |
yarn.resourcemanager.webapp.address |
8088 |
TLS |
emr-7.3.0 이상 |
ResourceManager |
yarn.resourcemanager.resource-tracker.address |
8025 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
ResourceManager |
yarn.resourcemanager.scheduler.address |
8030 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
ResourceManager |
yarn.resourcemanager.address |
8032 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
ResourceManager |
yarn.resourcemanager.admin.address |
8033 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
TimelineServer |
yarn.timeline-service.address |
10200 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
TimelineServer |
yarn.timeline-service.webapp.address |
8188 |
TLS |
emr-7.3.0 이상 |
|
WebApplicationProxy |
yarn.web-proxy.address |
20888 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
NodeManager |
yarn.nodemanager.address |
8041 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
NodeManager |
yarn.nodemanager.localizer.address |
8040 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
NodeManager |
yarn.nodemanager.webapp.address |
8044 |
TLS |
emr-7.3.0 이상 |
|
NodeManager |
mapreduce.shuffle.port1 |
13562 |
TLS |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
NodeManager |
spark.shuffle.service.port2 |
7337 |
Spark AES기반 암호화 |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
1mapreduce.shuffle.port은에서 호스팅YARN NodeManager 되지만 Hadoop에서만 사용됩니다 MapReduce.
2spark.shuffle.service.port는에서 호스팅YARN NodeManager 되지만 Apache Spark에서만 사용됩니다.
하둡 HDFS
EMR 클러스터에서 전송 중 암호화가 활성화된 경우 하둡 이름 노드, 데이터 노드 및 저널 노드는 모두 TLS 기본적으로 지원됩니다.
Secure HadoopRPCprivacy되며 SASL기반 전송 중 암호화를 사용합니다. 이렇게 하려면 보안 구성에서 Kerberos 인증을 활성화해야 합니다.
HTTPS 엔드포인트에 사용되는 기본 포트를 변경하지 않는 것이 좋습니다.
HDFS 블록 전송 시 데이터 암호화는 256을 사용
자세한 내용은 Apache Hadoop 설명서에서 Hadoop in secure mode
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Namenode |
dfs.namenode.https-address |
9871 |
TLS |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Namenode |
dfs.namenode.rpc-address |
8020 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Datanode |
dfs.datanode.https.address |
9865 |
TLS |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Datanode |
dfs.datanode.address |
9866 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
저널 노드 |
dfs.journalnode.https-address |
8481 |
TLS |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
저널 노드 |
dfs.journalnode.rpc-address |
8485 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
DFSZKFailoverController |
dfs.ha.zkfc.port |
8019 |
없음 |
TLS 용 ZKFC는 Hadoop 3.4.0에서만 지원됩니다. 자세한 내용은 HADOOP-18919 |
하둡 MapReduce
EMR 클러스터에서 전송 중 암호화가 활성화된 경우 하둡, MapReduce작업 기록 서버 및 MapReduce 셔플이 TLS 기본적으로 모두 지원됩니다.
하둡 MapReduce 암호화된 셔플
HTTPS 엔드포인트의 기본 포트를 변경하지 않는 것이 좋습니다.
자세한 내용은 Apache Hadoop 설명서에서 Hadoop in secure mode
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
JobHistoryServer |
mapreduce.jobhistory.webapp.https.address |
19890 |
TLS |
emr-7.3.0 이상 |
|
YARN NodeManager |
mapreduce.shuffle.port1 |
13562 |
TLS |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
1mapreduce.shuffle.port은에서 호스팅YARN NodeManager 되지만 Hadoop에서만 사용됩니다 MapReduce.
Presto
Amazon EMR 릴리스 5.6.0 이상에서는 Presto 코디네이터와 작업자 간의 내부 통신이 TLS Amazon에서 필요한 모든 구성을 EMR 설정하여 Presto에서 안전한 내부 통신을
커넥터가 Hive 메타스토어를 메타데이터 스토어로 사용하는 경우 커뮤니케이터와 Hive 메타스토어 간의 통신도 로 암호화됩니다TLS.
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Presto 코디네이터 |
http-server.https.port |
8446 |
TLS |
emr-5.6.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
Presto 작업자 |
http-server.https.port |
8446 |
TLS |
emr-5.6.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
Trino
Amazon EMR 릴리스 6.1.0 이상에서는 Presto 조정자와 작업자 간의 내부 통신이 TLS Amazon에서 Trino에서 안전한 내부 통신을
커넥터가 Hive 메타스토어를 메타데이터 스토어로 사용하는 경우 커뮤니케이터와 Hive 메타스토어 간의 통신도 로 암호화됩니다TLS.
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Trino 코디네이터 |
http-server.https.port |
8446 |
TLS |
emr-6.1.0 이상, emr-7.0.0 이상 |
|
Trino 작업자 |
http-server.https.port |
8446 |
TLS |
emr-6.1.0 이상, emr-7.0.0 이상 |
Hive 및 Tez
기본적으로 Hive 서버 2, Hive 메타스토어 서버, Hive LLAP Daemon 웹 UI 및 Hive는 EMR 클러스터에서 전송 중 암호화가 활성화된 TLS 경우 LLAP 모두 지원합니다. Hive 구성에 대한 자세한 내용은 Configuration properties
Tomcat 서버에서 호스팅되는 Tez UI는 EMR 클러스터에서 전송 중 암호화가 활성화된 경우에도 HTTPS활성화됩니다. 그러나 HTTPS는 Tez AM 웹 UI 서비스에서 비활성화되어 있으므로 AM 사용자는 열기 SSL리스너의 키 스토어 파일에 액세스할 수 없습니다. 부울 구성 tez.am.tez-ui.webservice.enable.ssl 및 tez.am.tez-ui.webservice.enable.client.auth를 사용하여 이 동작을 활성화할 수도 있습니다.
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
HiveServer2 |
hive.server2.thrift.port |
10000 |
TLS |
emr-6.9.0 이상, emr-7.0.0 이상 |
|
HiveServer2 |
hive.server2.thrift.http.port |
10001 |
TLS |
emr-6.9.0 이상, emr-7.0.0 이상 |
|
HiveServer2 |
hive.server2.webui.port |
10002 |
TLS |
emr-7.3.0 이상 |
|
HiveMetastoreServer |
hive.metastore.port |
9083 |
TLS |
emr-7.3.0 이상 |
|
LLAP 데몬 |
hive.llap.daemon.yarn.shuffle.port |
15551 |
TLS |
emr-7.3.0 이상 |
|
LLAP 데몬 |
hive.llap.daemon.web.port |
15002 |
TLS |
emr-7.3.0 이상 |
|
LLAP 데몬 |
hive.llap.daemon.output.service.port |
15003 |
없음 |
Hive는 이 엔드포인트에 대해 전송 중 암호화를 지원하지 않습니다. |
|
LLAP 데몬 |
hive.llap.management.rpc.port |
15004 |
없음 |
Hive는 이 엔드포인트에 대해 전송 중 암호화를 지원하지 않습니다. |
|
LLAP 데몬 |
hive.llap.plugin.rpc.port |
동적 |
없음 |
Hive는 이 엔드포인트에 대해 전송 중 암호화를 지원하지 않습니다. |
|
LLAP 데몬 |
hive.llap.daemon.rpc.port |
동적 |
없음 |
Hive는 이 엔드포인트에 대해 전송 중 암호화를 지원하지 않습니다. |
|
WebHCat |
templeton.port |
50111 |
TLS |
emr-7.3.0 이상 |
|
Tez 애플리케이션 마스터 |
tez.am.client.am.port-range tez.am.task.am.port-range |
동적 |
없음 |
Tez는 이 엔드포인트에 대해 전송 중 암호화를 지원하지 않습니다. |
|
Tez 애플리케이션 마스터 |
tez.am.tez-ui.webservice.port-range |
동적 |
없음 |
기본 설정은 “Disable”입니다. emr-7.3.0 이상에서 Tez 구성을 사용하여 활성화할 수 있습니다. |
|
Tez 태스크 |
해당 없음 - 구성할 수 없음 |
동적 |
없음 |
Tez는 이 엔드포인트에 대해 전송 중 암호화를 지원하지 않습니다. |
|
Tez UI |
Tez UI가 호스팅되는 Tomcat 서버를 통해 구성 가능 |
8080 |
TLS |
emr-7.3.0 이상 |
Flink
EMR 클러스터에서 전송 중 암호화를 활성화하면 Apache Flink REST 엔드포인트와 flink 프로세스 간의 내부 통신TLS이 기본적으로 지원됩니다.
security.ssl.internal.enabledtrue로 설정하며, Flink 프로세스 간 내부 통신을 위해 전송 중 데이터 암호화를 사용합니다. 내부 통신에 전송 중 데이터 암호화를 사용하지 않으려면 해당 구성을 비활성화합니다. 보안을 극대화하려면 기본 구성을 사용하는 것이 좋습니다.
Amazon은를 true security.ssl.rest.enabledhistoryserver.web.ssl.enabled
Amazon은를 EMR 사용합니다security.ssl.algorithms
자세한 내용은 Flink 설명서의 SSL 설정을
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Flink 기록 서버 |
historyserver.web.port |
8082 |
TLS |
emr-7.3.0 이상 |
|
작업 관리자 Rest Server |
rest.bind-port rest.port |
동적 |
TLS |
emr-7.3.0 이상 |
HBase
Amazon은 보안 하둡RPCprivacy. HMaster 및 SASL는 기반 전송 중 암호화를 RegionServer 사용합니다. 이렇게 하려면 보안 구성에서 Kerberos 인증을 활성화해야 합니다.
Amazon은 truehbase.ssl.enabled로 EMR 설정하고 UI 엔드포인트TLS에를 사용합니다. UI 엔드포인트TLS에를 사용하지 않으려면이 구성을 비활성화합니다. 보안을 극대화하려면 기본 구성을 사용하는 것이 좋습니다.
AmazonEMR은 hbase.rest.ssl.enabled 및를 REST 각각 및 Thirft 서버 엔드포인트TLS에 대해 hbase.thrift.ssl.enabled 설정합니다. 이러한 엔드포인트TLS에를 사용하지 않으려면이 구성을 비활성화합니다. 보안을 극대화하려면 기본 구성을 사용하는 것이 좋습니다.
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
HMaster |
HMaster |
16000 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
HMaster |
HMaster UI |
16010 |
TLS |
emr-7.3.0 이상 |
|
RegionServer |
RegionServer |
16020 |
SASL + Kerberos |
emr-4.8.0 이상, emr-5.0.0 이상, emr-6.0.0 이상, emr-7.0.0 이상 |
|
RegionServer |
RegionServer 정보 |
16030 |
TLS |
emr-7.3.0 이상 |
|
HBase 나머지 서버 |
Rest Server |
8070 |
TLS |
emr-7.3.0 이상 |
|
HBase 나머지 서버 |
REST UI |
8085 |
TLS |
emr-7.3.0 이상 |
|
Hbase Thrift 서버 |
Thrift 서버 |
9090 |
TLS |
emr-7.3.0 이상 |
|
Hbase Thrift 서버 |
Thrift 서버 UI |
9095 |
TLS |
emr-7.3.0 이상 |
피닉스
EMR 클러스터에서 전송 중 암호화를 활성화한 경우 Phoenix Query Serverphoenix.queryserver.tls.enabled는 true 기본적으로 로 설정된 TLS 속성을 지원합니다.
자세한 내용은 Phoenix 쿼리 서버 설명서의 와 관련된 구성을 참조하세요HTTPS
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
쿼리 서버 |
phoenix.queryserver.http.port |
8765 |
TLS |
emr-7.3.0 이상 |
Oozie
Amazon OOZIE7.3.0 이상에서 Oozie를 실행하는 경우 Amazon에서 -36oozie-site.xml 파일oozie.email.smtp.ssl.protocols에서 속성을 설정할 수 있습니다. 기본적으로 전송 중 암호화를 활성화한 경우 Amazon은 TLS v1.3 프로토콜을 EMR 사용합니다.
Amazon OOZIE7.3trustStoreType에서 keyStoreType 속성을 지정할 수 있습니다oozie-site.xml. OOZIE-3674는 인증서 오류를 무시--insecure할 수 있도록 파라미터를 Oozie 클라이언트에 추가합니다.
Oozie는 TLS 호스트 이름 확인을 적용합니다. 즉, 전송 중 암호화에 사용하는 모든 인증서가 호스트 이름 확인 요구 사항을 충족해야 합니다. 인증서가 기준을 충족하지 않으면 Amazon이 클러스터를 EMR 프로비저닝할 때 클러스터가 oozie share lib update 단계에서 멈출 수 있습니다. 호스트 이름 확인을 준수하도록 인증서를 업데이트하는 것이 좋습니다. 그러나 인증서를 업데이트할 수 없는 경우 클러스터 구성false에서 oozie.https.enabled 속성을 로 설정하여 Oozie에 SSL 대해를 비활성화할 수 있습니다.
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
EmbeddedOozieServer |
oozie.https.port |
11443 |
TLS |
emr-7.3.0 이상 |
|
EmbeddedOozieServer |
oozie.email.smtp.port |
25 |
TLS |
emr-7.3.0 이상 |
Hue
기본적으로 Hue는 Amazon EMR 클러스터에서 전송 중 암호화가 활성화된 TLS 경우를 지원합니다. Hue 구성에 대한 자세한 내용은 HTTPS /를 사용하여 Hue 구성을 SSL
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Hue |
http_port |
8888 |
TLS |
emr-7.4.0 이상 |
Livy
기본적으로 Livy는 Amazon EMR 클러스터에서 전송 중 암호화가 활성화된 TLS 경우를 지원합니다. Livy 구성에 대한 자세한 내용은 Apache LivyHTTPS로 활성화를 참조하세요.
Amazon EMR 7.3.0부터는 전송 중 암호화 및 Kerberos 인증을 사용하는 경우 Hive 메타스토어에 의존하는 Spark 애플리케이션용 Livy 서버를 사용할 수 없습니다. 이 문제는 HIVE-16340hive.metastore.use.SSL로 설정하면이 문제를 해결할 수 있습니다false. 자세한 내용은 애플리케이션 구성을 참조하세요.
자세한 내용은 Apache LivyHTTPS로 활성화를 참조하세요.
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
livy-server |
livy.server.port |
8998 |
TLS |
emr-7.4.0 이상 |
JupyterEnterpriseGateway
기본적으로 Jupyter Enterprise Gateway는 Amazon EMR 클러스터에서 전송 중 암호화가 활성화된 TLS 경우를 지원합니다. Jupyter Enterprise Gateway 구성에 대한 자세한 내용은 Enterprise Gateway 서버 보안을
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
jupyter_enterprise_gateway |
c.EnterpriseGatewayApp.port |
9547 |
TLS |
emr-7.4.0 이상 |
JupyterHub
기본적으로는 Amazon EMR 클러스터에서 전송 중 암호화가 활성화된 TLS 경우 JupyterHub 지원합니다. 자세한 내용은 설명서의 SSL 암호화 활성화
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
jupyter_hub |
c.JupyterHub.port |
9443 |
TLS |
emr-5.14.0+, emr-6.0.0+, emr-7.0.0+ |
Zeppelin
기본적으로 Zeppelin은 EMR 클러스터에서 전송 중 암호화를 활성화할 TLS 때를 지원합니다. Zeppelin 구성에 대한 자세한 내용은 Zeppelin 설명서의 SSL 구성을
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
zeppelin |
zeppelin.server.ssl.port |
8890 |
TLS |
7.3.0 이상 |
Zookeeper
Amazon은를 serverCnxnFactory 로 EMR 설정org.apache.zookeeper.server.NettyServerCnxnFactory하여 Zookeeper 쿼럼 및 클라이언트 통신을 TLS 활성화합니다.
secureClientPort는 TLS 연결을 수신하는 포트를 지정합니다. 클라이언트가 Zookeeper에 대한 TLS 연결을 지원하지 않는 경우 클라이언트는에 지정된 2181의 안전하지 않은 포트에 연결할 수 있습니다clientPort. 이 두 포트를 재정의하거나 비활성화할 수 있습니다.
Amazon은 sslQuorum 및를 모두 admin.forceHttps 로 EMR 설정true하여 쿼럼 및 관리자 서버에 대한 TLS 통신을 활성화합니다. 쿼럼 및 관리자 서버에 대한 전송 중 암호화를 원하지 않는 경우 이러한 구성을 비활성화할 수 있습니다. 보안을 극대화하려면 기본 구성을 사용하는 것이 좋습니다.
자세한 내용은 Zookeeper 설명서의 암호화, 인증, 권한 부여 옵션을
| 구성 요소 | 엔드포인트 | 포트 | 전송 중 암호화 메커니즘 | 릴리스에서 지원 |
|---|---|---|---|---|
|
Zookeeper 서버 |
secureClientPort |
2281 |
TLS |
emr-7.4.0 이상 |
|
Zookeeper 서버 |
쿼럼 포트 |
2가지가 있습니다. 팔로워는 2888을 사용하여 리더에 연결합니다. 리더 선거에서 3888 사용 |
TLS |
emr-7.4.0 이상 |
|
Zookeeper 서버 |
관리자.serverPort |
8341 |
TLS |
emr-7.4.0 이상 |
