Použití skupiny zabezpečení sítě (NSG) k omezení provozu na službu HDInsight v AKS
Důležitý
Azure HDInsight v AKS byl vyřazen 31. ledna 2025. Zjistěte více pomocí tohoto oznámení.
Abyste se vyhnuli náhlému ukončení úloh, musíte migrovat úlohy do Microsoft Fabric nebo ekvivalentního produktu Azure.
Důležitý
Tato funkce je aktuálně ve verzi Preview. Doplňkové podmínky použití pro Preview verzí Microsoft Azure obsahují další právní podmínky, které se vztahují na funkce Azure, jež jsou ve verzi beta, náhledu nebo ještě nebyly vydány k obecné dostupnosti. Informace o této konkrétní verzi Preview najdete v tématu Azure HDInsight na AKS preview. Pokud máte dotazy nebo návrhy funkcí, odešlete prosím žádost na AskHDInsight s podrobnostmi a sledujte nás pro další aktualizace na komunitě Azure HDInsight.
HDInsight v AKS spoléhá na odchozí závislosti AKS a ty jsou definované pomocí FQDN, které nemají přiřazené statické adresy. Nedostatek statických IP adres znamená, že není možné použít skupiny zabezpečení sítě (NSG) k uzamčení odchozího provozu z clusteru pomocí IP adres.
Pokud stále dáváte přednost použití NSG pro zabezpečení provozu, musíte v NSG nakonfigurovat následující pravidla pro základní řízení.
Naučte se , jak vytvořit pravidlo zabezpečení v NSG.
Odchozí pravidla zabezpečení (odchozí provoz)
Běžný provoz
| Cíl | Cílový koncový bod | Protokol | Přístav |
|---|---|---|---|
| Značka služby | AzureCloud.<Region> |
Protokol udp | 1194 |
| Značka služby | AzureCloud.<Region> |
Protokol tcp | 9000 |
| Jakýkoliv | * | Protokol tcp | 443, 80 |
Provoz specifický pro cluster
Tato část popisuje provoz specifický pro cluster, který může podnik použít.
Trino
| Cíl | Cílový koncový bod | Protokol | Přístav |
|---|---|---|---|
| Jakýkoliv | * | Protokol tcp | 1433 |
| Značka služby | Sql.<Region> |
Protokol tcp | 11000-11999 |
Jiskra
| Cíl | Cílový koncový bod | Protokol | Přístav |
|---|---|---|---|
| Jakýkoliv | * | Protokol tcp | 1433 |
| Značka služby | Sql.<Region> |
Protokol tcp | 11000-11999 |
| Značka služby | Skladování.<Region> |
Protokol tcp | 445 |
Apache Flink
Žádný
Pravidla zabezpečení pro příchozí provoz (Ingress traffic)
Po vytvoření clusterů se vytvoří také určité veřejné IP adresy příchozího přenosu dat. Abyste mohli odesílat požadavky do clusteru, musíte povolit provoz směrovaný na tyto veřejné IP adresy s porty 80 a 443.
Následující příkaz Azure CLI vám může pomoct získat veřejnou IP adresu pro příchozí připojení:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Zdroj | Zdrojové IP adresy nebo rozsahy CIDR | Protokol | Přístav |
|---|---|---|---|
| IP adresy | <Public IP retrieved from above command> |
Protokol tcp | 80 |
| IP adresy | <Public IP retrieved from above command> |
Protokol tcp | 443 |