Verwenden Sie NSG, um den Datenverkehr für HDInsight auf AKS einzuschränken.
Wichtig
Azure HDInsight auf AKS wurde am 31. Januar 2025 eingestellt. Erfahren Sie mehr mit dieser Ankündigung.
Sie müssen Ihre Workloads zu Microsoft Fabric oder ein gleichwertiges Azure-Produkt migrieren, um eine abrupte Beendigung Ihrer Workloads zu vermeiden.
Wichtig
Dieses Feature befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews weitere rechtliche Bestimmungen enthalten, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht in die allgemeine Verfügbarkeit veröffentlicht werden. Informationen zu dieser spezifischen Vorschau finden Sie unter Azure HDInsight auf der AKS-Vorschauinformationen. Für Fragen oder Funktionsergänzungsvorschläge senden Sie bitte eine Anfrage mit den Details an AskHDInsight und folgen Sie uns, um weitere Updates in der Azure HDInsight Communityzu erhalten.
HDInsight für AKS basiert auf ausgehenden AKS-Abhängigkeiten und sind vollständig mit FQDNs definiert, die keine statischen Adressen dahinter haben. Das Fehlen statischer IP-Adressen bedeutet, dass man netzwerksicherheitsgruppen (Network Security Groups, NSGs) nicht verwenden kann, um den ausgehenden Datenverkehr über IPs vom Cluster zu sperren.
Wenn Sie NSG weiterhin verwenden möchten, um Ihren Datenverkehr zu schützen, müssen Sie die folgenden Regeln in der NSG so konfigurieren, dass eine grobkörnige Kontrolle ausgeführt wird.
Erfahren Sie , wie Sie eine Sicherheitsregel in NSGerstellen.
Ausgehende Sicherheitsregeln (Egress-Verkehr)
Allgemeiner Verkehr
| Bestimmungsort | Zielendpunkt | Protokoll | Hafen |
|---|---|---|---|
| Diensttag | AzureCloud.<Region> |
UDP (User Datagram Protocol) | 1194 |
| Diensttag | AzureCloud.<Region> |
TCP | 9000 |
| Jegliche | * | TCP | 443, 80 |
Clusterspezifischer Datenverkehr
In diesem Abschnitt wird der clusterspezifische Datenverkehr beschrieben, den ein Unternehmen erstellen kann.
Trino
| Bestimmungsort | Zielendpunkt | Protokoll | Hafen |
|---|---|---|---|
| Jegliche | * | TCP | 1433 |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 |
Funke
| Bestimmungsort | Zielendpunkt | Protokoll | Hafen |
|---|---|---|---|
| Jegliche | * | TCP | 1433 |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 |
| Diensttag | Lagerung.<Region> |
TCP | 445 |
Apache Flink
Nichts
Eingehende Sicherheitsregeln (Ingress-Verkehr)
Beim Erstellen von Clustern werden auch bestimmte öffentliche IPs erstellt. Damit Anforderungen an den Cluster gesendet werden können, müssen Sie den Datenverkehr zu diesen öffentlichen IPs mit Port 80 und 443 zulassen.
Der folgende Azure CLI-Befehl kann Ihnen beim Abrufen der öffentlichen Eingangs-IP-Adresse helfen.
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Quelle | Quell-IP-Adressen/CIDR-Bereiche | Protokoll | Hafen |
|---|---|---|---|
| IP-Adressen | <Public IP retrieved from above command> |
TCP | 80 |
| IP-Adressen | <Public IP retrieved from above command> |
TCP | 443 |