Erforderlicher ausgehender Datenverkehr für HDInsight in AKS
Wichtig
Azure HDInsight auf AKS wurde am 31. Januar 2025 eingestellt. Erfahren Sie mehr in dieser Ankündigung über.
Sie müssen Ihre Workloads zu Microsoft Fabric oder ein gleichwertiges Azure-Produkt migrieren, um eine abrupte Beendigung Ihrer Workloads zu vermeiden.
Wichtig
Dieses Feature befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews weitere rechtliche Bestimmungen enthalten, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht in die allgemeine Verfügbarkeit veröffentlicht werden. Informationen zu dieser spezifischen Vorschau finden Sie unter Azure HDInsight auf AKS-Vorschauinformationen. Für Fragen oder Featurevorschläge senden Sie bitte eine Anfrage auf AskHDInsight mit den entsprechenden Details und folgen Sie uns für weitere Updates von Azure HDInsight Community.
Anmerkung
HDInsight für AKS verwendet standardmäßig das Azure CNI Overlay-Netzwerkmodell. Weitere Informationen finden Sie unter Azure CNI Overlay Networking.
In diesem Artikel werden die Netzwerkinformationen beschrieben, um die Netzwerkrichtlinien im Unternehmen zu verwalten und erforderliche Änderungen an den Netzwerksicherheitsgruppen (NSGs) vorzunehmen, um das reibungslose Funktionieren von HDInsight auf AKS sicherzustellen.
Wenn Sie die Firewall verwenden, um ausgehenden Datenverkehr zu Ihrem HDInsight im AKS-Cluster zu steuern, müssen Sie sicherstellen, dass Ihr Cluster mit wichtigen Azure-Diensten kommunizieren kann. Einige der Sicherheitsregeln für diese Dienste sind regionsspezifisch und gelten für alle Azure-Regionen.
Sie müssen die folgenden Netzwerk- und Anwendungssicherheitsregeln in Ihrer Firewall konfigurieren, um ausgehenden Datenverkehr zuzulassen.
Allgemeiner Verkehr
| Typ | Zielendpunkt | Protokoll | Hafen | Azure-Firewall-Regeltyp | Verwenden |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Netzwerksicherheitsregel | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerebene. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Netzwerksicherheitsregel | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerebene. |
| FQDN-Tag | AzureKubernetesService | HTTPS | 443 | Anwendungssicherheitsregel | Erforderlich für den AKS-Dienst. |
| Diensttag | AzureMonitor | TCP | 443 | Netzwerksicherheitsregel | Erforderlich für die Integration in Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Anwendungssicherheitsregel | Lädt Metadateninformationen des Docker-Images zum Einrichten und Überwachen von HDInsight auf AKS herunter. |
| FQDN (vollständig qualifizierter Domainname) | *.blob.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung und Einrichtung von HDInsight auf AKS. |
| vollständig qualifizierter Domänenname (FQDN) | graph.microsoft.com | HTTPS | 443 | Anwendungssicherheitsregel | Authentifizierung. |
| FQDN (vollständiger Domänenname) | *.servicebus.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung. |
| FQDN (Vollqualifizierter Domänenname) | *.table.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung. |
| FQDN (vollständiger Domainname) | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung. |
| **FQDN | API-Server-FQDN (verfügbar, nachdem AKS-Cluster erstellt wurde) | TCP | 443 | Netzwerksicherheitsregel | Da die laufenden Pods/Bereitstellungen es benötigen, um auf den API-Server zuzugreifen, ist es erforderlich. Sie können diese Informationen aus dem AKS-Cluster abrufen, der hinter dem Clusterpool ausgeführt wird. Weitere Informationen finden Sie unter wie man die API-Server-FQDN mit dem Azure-Portal abruft. |
Anmerkung
** Diese Konfiguration ist nicht erforderlich, wenn Sie private AKS aktivieren.
Clusterspezifischer Datenverkehr
Im folgenden Abschnitt werden alle spezifischen Netzwerkdatenverkehre beschrieben, die ein Cluster-Shape erfordert, um Unternehmen bei der Planung und Aktualisierung der Netzwerkregeln zu unterstützen.
Trino
| Typ | Zielendpunkt | Protokoll | Hafen | Azure-Firewall-Regeltyp | Verwenden |
|---|---|---|---|---|---|
| vollständig qualifizierter Domainname (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es ist das eigene Speicherkonto des Benutzers, z. B. contosottss.dfs.core.windows.net |
| Vollständig qualifizierter Domain-Name (FQDN) | *.database.windows.net | mysql | 1433 | Anwendungssicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es ist der eigene SQL-Server des Benutzers, z. B. contososqlserver.database.windows.net |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 | Netzwerksicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es wird verwendet, um eine Verbindung mit SQL Server herzustellen. Es wird empfohlen, ausgehende Kommunikation vom Client zu allen Azure SQL-IP-Adressen in der Region für Ports im Bereich von 11000 bis 11999 zuzulassen. Verwenden Sie die Diensttags für SQL, um diesen Prozess einfacher zu verwalten. Wenn Sie die Umleitungsverbindungsrichtlinie verwenden, verweisen Sie auf die Azure IP Ranges and Service Tags – Public Cloud für eine Liste der IP-Adressen Ihrer Region, die zugelassen werden sollen. |
Funke
| Typ | Zielendpunkt | Protokoll | Hafen | Azure Firewall-Regeltyp | Verwenden |
|---|---|---|---|---|---|
| FQDN (vollständig qualifizierter Domain-Name) | *.dfs.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Spark Azure Data Lake Storage Gen2. Es ist das Speicherkonto des Benutzers: z. B. contosottss.dfs.core.windows.net |
| Diensttag | Lagerung.<Region> |
TCP | 445 | Netzwerksicherheitsregel | Verwenden des SMB-Protokolls zum Herstellen einer Verbindung mit Azure File |
| FQDN (vollständig qualifizierter Domainname) | *.database.windows.net | mysql | 1433 | Anwendungssicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es ist der eigene SQL-Server des Benutzers, z. B. contososqlserver.database.windows.net |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 | Netzwerksicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es wird verwendet, um eine Verbindung mit SQL Server herzustellen. Es wird empfohlen, ausgehende Kommunikation vom Client zu allen Azure SQL-IP-Adressen in der Region für Ports im Bereich von 11000 bis 11999 zuzulassen. Verwenden Sie die Diensttags für SQL, um diesen Prozess einfacher zu verwalten. Wenn Sie die Umleitungsverbindungsrichtlinie verwenden, verweisen Sie auf die Azure IP Ranges and Service Tags – Public Cloud für eine Liste der IP-Adressen Ihrer Region, die zugelassen werden sollen. |
Apache Flink
| Typ | Zielendpunkt | Protokoll | Hafen | Azure Firewall Regeltyp | Verwenden |
|---|---|---|---|---|---|
| Vollständig qualifizierter Domainname (FQDN) | *.dfs.core.windows.net |
HTTPS | 443 | Anwendungssicherheitsregel | Flink Azure Data Lake Storage Gens. Es ist das Speicherkonto des Benutzers: z. B. contosottss.dfs.core.windows.net |