Sdílet prostřednictvím


Použití skupiny zabezpečení sítě (NSG) k omezení provozu na službu HDInsight v AKS

Důležitý

Azure HDInsight v AKS byl vyřazen 31. ledna 2025. Zjistěte více pomocí tohoto oznámení.

Abyste se vyhnuli náhlému ukončení úloh, musíte migrovat úlohy do Microsoft Fabric nebo ekvivalentního produktu Azure.

Důležitý

Tato funkce je aktuálně ve verzi Preview. Doplňkové podmínky použití pro Preview verzí Microsoft Azure obsahují další právní podmínky, které se vztahují na funkce Azure, jež jsou ve verzi beta, náhledu nebo ještě nebyly vydány k obecné dostupnosti. Informace o této konkrétní verzi Preview najdete v tématu Azure HDInsight na AKS preview. Pokud máte dotazy nebo návrhy funkcí, odešlete prosím žádost na AskHDInsight s podrobnostmi a sledujte nás pro další aktualizace na komunitě Azure HDInsight.

HDInsight v AKS spoléhá na odchozí závislosti AKS a ty jsou definované pomocí FQDN, které nemají přiřazené statické adresy. Nedostatek statických IP adres znamená, že není možné použít skupiny zabezpečení sítě (NSG) k uzamčení odchozího provozu z clusteru pomocí IP adres.

Pokud stále dáváte přednost použití NSG pro zabezpečení provozu, musíte v NSG nakonfigurovat následující pravidla pro základní řízení.

Naučte se , jak vytvořit pravidlo zabezpečení v NSG.

Odchozí pravidla zabezpečení (odchozí provoz)

Běžný provoz

Cíl Cílový koncový bod Protokol Přístav
Značka služby AzureCloud.<Region> Protokol udp 1194
Značka služby AzureCloud.<Region> Protokol tcp 9000
Jakýkoliv * Protokol tcp 443, 80

Provoz specifický pro cluster

Tato část popisuje provoz specifický pro cluster, který může podnik použít.

Trino

Cíl Cílový koncový bod Protokol Přístav
Jakýkoliv * Protokol tcp 1433
Značka služby Sql.<Region> Protokol tcp 11000-11999

Jiskra

Cíl Cílový koncový bod Protokol Přístav
Jakýkoliv * Protokol tcp 1433
Značka služby Sql.<Region> Protokol tcp 11000-11999
Značka služby Skladování.<Region> Protokol tcp 445

Žádný

Pravidla zabezpečení pro příchozí provoz (Ingress traffic)

Po vytvoření clusterů se vytvoří také určité veřejné IP adresy příchozího přenosu dat. Abyste mohli odesílat požadavky do clusteru, musíte povolit provoz směrovaný na tyto veřejné IP adresy s porty 80 a 443.

Následující příkaz Azure CLI vám může pomoct získat veřejnou IP adresu pro příchozí připojení:

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
Zdroj Zdrojové IP adresy nebo rozsahy CIDR Protokol Přístav
IP adresy <Public IP retrieved from above command>  Protokol tcp 80
IP adresy <Public IP retrieved from above command>  Protokol tcp 443