Uso de NSG para restringir el tráfico a HDInsight en AKS
Importante
Azure HDInsight en AKS se retiró el 31 de enero de 2025. Descubra más con este anuncio.
Debe migrar las cargas de trabajo a microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo.
Importante
Esta característica está actualmente en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen más términos legales que se aplican a las características de Azure que se encuentran en versión beta, en versión preliminar o, de lo contrario, aún no se han publicado en disponibilidad general. Para obtener información sobre esta versión preliminar específica, consulte información de la versión preliminar de Azure HDInsight en AKS. Para preguntas o sugerencias de características, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Comunidad de Azure HDInsight.
HDInsight en AKS se basa en las dependencias de salida de AKS y están completamente definidas por nombres de dominio completos (FQDNs), los cuales no tienen direcciones IP estáticas asociadas. La falta de direcciones IP estáticas significa que no se pueden usar grupos de seguridad de red (NSG) para bloquear el tráfico saliente del clúster mediante direcciones IP.
Si todavía prefiere usar NSG para proteger el tráfico, debe configurar las siguientes reglas en el grupo de seguridad de red para realizar un control general.
Aprenda cómo crear una regla de seguridad en NSG.
Reglas de seguridad de salida (tráfico de salida)
Tráfico común
| Destino | Punto de conexión de destino | Protocolo | Puerto |
|---|---|---|---|
| Etiqueta de servicio | AzureCloud.<Region> |
UDP | 1194 |
| Etiqueta de servicio | AzureCloud.<Region> |
TCP | 9000 |
| Cualquier | * | TCP | 443, 80 |
Tráfico específico del clúster
En esta sección se describe el tráfico específico del clúster que una empresa puede aplicar.
Trino
| Destino | Punto de conexión de destino | Protocolo | Puerto |
|---|---|---|---|
| Cualquier | * | TCP | 1433 |
| Etiqueta de servicio | SQL<Region> |
TCP | 11000-11999 |
Chispa
| Destino | Punto de conexión de destino | Protocolo | Puerto |
|---|---|---|---|
| Cualquier | * | TCP | 1433 |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 |
| Etiqueta de servicio | Almacenamiento.<Region> |
TCP | 445 |
Apache Flink
Ninguno
Reglas de seguridad de entrada (tráfico de entrada)
Cuando se crean clústeres, también se crean determinadas direcciones IP públicas de entrada. Para permitir que las solicitudes se envíen al clúster, debe incluir en la lista el tráfico a estas direcciones IP públicas con el puerto 80 y el 443.
El siguiente comando de la CLI de Azure puede ayudarle a obtener la dirección IP pública de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fuente | Direcciones IP de origen/intervalos CIDR | Protocolo | Puerto |
|---|---|---|---|
| Direcciones IP | <Public IP retrieved from above command> |
TCP | 80 |
| Direcciones IP | <Public IP retrieved from above command> |
TCP | 443 |