Požadovaný odchozí síťový provoz pro HDInsight v AKS
Důležitý
Azure HDInsight na AKS byl ukončen 31. ledna 2025. Zjistěte více pomocí tohoto oznámení .
Abyste se vyhnuli náhlému ukončení úloh, musíte migrovat úlohy do Microsoft Fabric nebo ekvivalentního produktu Azure.
Důležitý
Tato funkce je aktuálně ve verzi Preview. doplňkové podmínky použití pro verze preview Microsoft Azure obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta, v preview, nebo jinak zatím nebyly uvolněny k všeobecné dostupnosti. Informace o této konkrétní verzi Preview najdete v tématu Azure HDInsight ve službě AKS ve verzi Preview. Pokud máte dotazy nebo návrhy funkcí, odešlete prosím žádost o AskHDInsight s podrobnostmi a sledujte nás o dalších aktualizacích komunity Azure HDInsight.
Poznámka
HDInsight v AKS ve výchozím nastavení používá model překryvné sítě Azure CNI. Pro více informací viz překryvné sítě Azure CNI.
Tento článek popisuje informace o sítích, které pomáhají spravovat zásady sítě v podniku a provádět nezbytné změny skupin zabezpečení sítě (NSG) pro bezproblémové fungování služby HDInsight v AKS.
Pokud k řízení odchozího provozu do služby HDInsight v clusteru AKS používáte bránu firewall, musíte zajistit, aby váš cluster mohl komunikovat s důležitými službami Azure. Některá pravidla zabezpečení těchto služeb jsou specifická pro jednotlivé oblasti a některá z nich platí pro všechny oblasti Azure.
Abyste povolili odchozí provoz, musíte ve vaší bráně firewall nakonfigurovat následující pravidla zabezpečení sítě a aplikací.
Běžný provoz
| Typ | Cílový koncový bod | Protokol | Přístav | Typ pravidla služby Azure Firewall | Používat |
|---|---|---|---|---|---|
| ** Servisní štítek | AzureCloud.<Region> |
Protokol udp | 1194 | Pravidlo zabezpečení sítě | Tunelovaná zabezpečená komunikace mezi uzly a řídicí rovinou. |
| ** ServiceTag | AzureCloud.<Region> |
Protokol tcp | 9000 | Pravidlo zabezpečení sítě | Tunelovaná zabezpečená komunikace mezi uzly a řídicí rovinou. |
| Značka plně kvalifikovaného názvu domény | AzureKubernetesService | HTTPS | 443 | Pravidlo zabezpečení aplikace | Vyžaduje služba AKS. |
| Značka služby | AzureMonitor | Protokol tcp | 443 | Pravidlo zabezpečení sítě | Vyžaduje se pro integraci se službou Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Pravidlo zabezpečení aplikace | Stáhne informace o metadatech image Dockeru pro nastavení SLUŽBY HDInsight v AKS a monitorování. |
| FQDN (plně kvalifikovaný název domény) | *.blob.core.windows.net | HTTPS | 443 | Pravidlo zabezpečení aplikace | Monitorování a nastavení SLUŽBY HDInsight v AKS |
| FQDN | graph.microsoft.com | HTTPS | 443 | Pravidlo zabezpečení aplikace | Autentizace. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Pravidlo zabezpečení aplikace | Monitorování. |
| FQDN (plně kvalifikovaný název domény) | *.table.core.windows.net | HTTPS | 443 | Pravidlo zabezpečení aplikace | Monitorování. |
| Plně kvalifikovaný doménový název (FQDN) | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Pravidlo zabezpečení aplikace | Monitorování. |
| **FQDN | Plně kvalifikovaný název domény API serveru (k dispozici po vytvoření clusteru AKS) | Protokol tcp | 443 | Pravidlo zabezpečení sítě | Vyžaduje se, protože spuštěné pody/nasazení ho používají pro přístup k API serveru. Tyto informace můžete získat z clusteru AKS, který je provozován v rámci fondu clusteru. Další informace najdete v tématu získání plně kvalifikovaného názvu domény serveru API pomocí webu Azure Portal. |
Poznámka
** Tato konfigurace není nutná, pokud povolíte privátní AKS.
Provoz specifický pro cluster
Následující část popisuje jakýkoli konkrétní síťový provoz, který vyžaduje tvar clusteru, a pomáhá podnikům plánovat a odpovídajícím způsobem aktualizovat pravidla sítě.
Trino
| Typ | Cílový koncový bod | Protokol | Přístav | Typ pravidla služby Azure Firewall | Použijte |
|---|---|---|---|---|---|
| Plně kvalifikovaný název domény (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Pravidlo zabezpečení aplikace | Vyžaduje se, pokud je Hive povolený. Je to vlastní účet úložiště uživatele, například contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Pravidlo zabezpečení aplikace | Vyžaduje se, pokud je Hive povolený. Je to vlastní SQL server uživatele, například contososqlserver.database.windows.net |
| Značka služby | Sql.<Region> |
Protokol tcp | 11000-11999 | Pravidlo zabezpečení sítě | Vyžaduje se, pokud je Hive povolený. Používá se při připojování k SQL Serveru. Doporučujeme povolit odchozí komunikaci z klienta na všechny IP adresy Azure SQL v oblasti na portech v rozsahu 11000 až 11999. Pomocí značek služeb pro SQL usnadníte správu tohoto procesu. Pokud používáte zásadu přesměrování připojení, prostudujte si část Rozsahy IP adres Azure a značky služeb – veřejný cloud, kde najdete seznam IP adres vaší oblasti, které je třeba povolit. |
Jiskra
| Typ | Cílový koncový bod | Protokol | Přístav | Typ pravidla služby Azure Firewall | Používat |
|---|---|---|---|---|---|
| FQDN (plně kvalifikovaný název domény) | *.dfs.core.windows.net | HTTPS | 443 | Pravidlo zabezpečení aplikace | Spark Azure Data Lake Storage Gen2. Je to účet úložiště uživatele: například contosottss.dfs.core.windows.net |
| Značka služby | Skladování.<Region> |
Protokol tcp | 445 | Pravidlo zabezpečení sítě | Použití protokolu SMB pro připojení ke službě Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Pravidlo zabezpečení aplikace | Vyžaduje se, pokud je Hive povolený. Je to vlastní SQL server uživatele, například contososqlserver.database.windows.net |
| Značka služby | SQL<Region> |
Protokol tcp | 11000-11999 | Pravidlo zabezpečení sítě | Vyžaduje se, pokud je Hive povolený. Slouží k připojení k SQL Serveru. Doporučujeme povolit odchozí komunikaci z klienta na všechny IP adresy Azure SQL v oblasti na portech v rozsahu 11000 až 11999. Pomocí značek služeb pro SQL usnadníte správu tohoto procesu. Pokud používáte zásadu přesměrování připojení, odkažte se na Rozsahy IP adres a značky služeb Azure – Veřejný cloud pro seznam IP adres vaší oblasti, které chcete povolit. |
Apache Flink
| Typ | Cílový koncový bod | Protokol | Přístav | Typ pravidla služby Azure Firewall | Použít |
|---|---|---|---|---|---|
| FQDN (plně kvalifikovaný název domény) | *.dfs.core.windows.net |
HTTPS | 443 | Pravidlo zabezpečení aplikace | Flink Azure Data Lake Storage Gens. Je to účet úložiště uživatele: například contosottss.dfs.core.windows.net |