Tráfico de salida necesario para HDInsight en AKS
Importante
Azure HDInsight en AKS se retiró el 31 de enero de 2025. Obtenga más información con este anuncio.
Debe migrar las cargas de trabajo a microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo.
Importante
Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen más términos legales que se aplican a las características de Azure que se encuentran en versión beta, en versión preliminar o, de lo contrario, aún no se han publicado en disponibilidad general. Para obtener información sobre esta versión preliminar específica, puede encontrar en información de la versión preliminar de Azure HDInsight en AKS. Para preguntas o sugerencias de características, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Comunidad de Azure HDInsight.
Nota
HDInsight en AKS usa el modelo de red superpuesta de Azure CNI de forma predeterminada. Para más información, consulte redes de superposición de Azure CNI.
En este artículo se describe la información de red para ayudar a administrar las directivas de red en la empresa y realizar cambios necesarios en los grupos de seguridad de red (NSG) para un funcionamiento sin problemas de HDInsight en AKS.
Si usa firewall para controlar el tráfico saliente al clúster de HDInsight en AKS, debe asegurarse de que el clúster pueda comunicarse con los servicios críticos de Azure. Algunas de las reglas de seguridad de estos servicios son específicas de la región y algunas de ellas se aplican a todas las regiones de Azure.
Debe configurar las siguientes reglas de seguridad de red y aplicación en el firewall para permitir el tráfico saliente.
Tráfico común
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Uso |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Regla de seguridad de red | Comunicación segura tunnelizada entre los nodos y el plano de control. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Regla de seguridad de red | Comunicación segura tunelizado entre los nodos y el plano de control. |
| Etiqueta FQDN | AzureKubernetesService | HTTPS | 443 | Regla de seguridad de aplicaciones | Requerido por el servicio AKS. |
| Etiqueta de servicio | AzureMonitor | TCP | 443 | Regla de seguridad de red | Necesario para la integración con Azure Monitor. |
| FQDN (Nombre de Dominio Completamente Calificado) | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regla de seguridad de aplicaciones | Descarga información de metadatos de la imagen de Docker para configurar HDInsight en AKS y realizar la supervisión. |
| FQDN (Nombre de Dominio Completamente Calificado) | *.blob.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Supervisión y configuración de HDInsight en AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Regla de seguridad de aplicaciones | Autenticación. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Monitorización. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Monitorización. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Monitorización. |
| **FQDN (Nombre de Dominio Completamente Calificado) | FQDN del servidor de API (disponible una vez creado el clúster de AKS) | TCP | 443 | Regla de seguridad de red | Requerido ya que los pods o despliegues en ejecución lo usan para acceder al servidor de API. Puede obtener esta información del clúster de AKS que se ejecuta en segundo plano detrás del grupo de clústeres. Para más información, consulte cómo obtener el FQDN del servidor de API mediante Azure Portal. |
Nota
** Esta configuración no es necesaria si habilita AKS privado.
Tráfico específico del clúster
En la sección siguiente se describe cualquier tráfico de red específico, que requiere una forma de clúster, para ayudar a las empresas a planear y actualizar las reglas de red en consecuencia.
Trino
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Uso |
|---|---|---|---|---|---|
| Nombre de dominio completamente calificado (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Obligatorio si Hive está habilitado. Es la propia cuenta de almacenamiento del usuario, como contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Regla de seguridad de aplicaciones | Obligatorio si Hive está habilitado. Es el propio servidor SQL Server del usuario, como contososqlserver.database.windows.net |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 | Regla de seguridad de red | Obligatorio si Hive está habilitado. Se usa para conectarse a SQL Server. Se recomienda permitir la comunicación saliente desde el cliente a todas las direcciones IP de Azure SQL de la región en los puertos del intervalo de 11000 a 11999. Use las etiquetas de servicio para SQL para facilitar la administración de este proceso. Al usar la directiva de conexión de redirección, consulta los intervalos IP de Azure y etiquetas de servicio de Azure - nube pública para obtener una lista de las direcciones IP que debes permitir en tu región. |
Chispa
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Uso |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Spark Azure Data Lake Storage Gen2. Es la cuenta de almacenamiento del usuario: por ejemplo, contosottss.dfs.core.windows.net |
| Etiqueta de servicio | Almacenamiento.<Region> |
TCP | 445 | Regla de seguridad de red | Uso del protocolo SMB para conectarse a Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Regla de seguridad de aplicaciones | Obligatorio si Hive está habilitado. Es el propio servidor SQL Server del usuario, como contososqlserver.database.windows.net |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 | Regla de seguridad de red | Obligatorio si Hive está habilitado. Se usa para conectarse a SQL Server. Se recomienda permitir la comunicación saliente desde el cliente a todas las direcciones IP de Azure SQL de la región en los puertos del intervalo de 11000 a 11999. Use las etiquetas de servicio para SQL para facilitar la administración de este proceso. Al usar la directiva de conexión de redirección, consulte los intervalos IP de Azure y etiquetas de servicio en la nube pública para obtener una lista de las direcciones IP de la región que deben permitirse. |
Apache Flink
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Uso |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Regla de seguridad de aplicaciones | Flink Azure Data Lake Storage Generations. Es la cuenta de almacenamiento del usuario: por ejemplo, contosottss.dfs.core.windows.net |