Tráfico saliente necesario para HDInsight en AKS
Nota:
Retiraremos Azure HDInsight en AKS el 31 de enero de 2025. Antes del 31 de enero de 2025, deberá migrar las cargas de trabajo a Microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo. Los clústeres restantes de la suscripción se detendrán y quitarán del host.
Solo el soporte técnico básico estará disponible hasta la fecha de retirada.
Importante
Esta funcionalidad actualmente está en su versión preliminar. En Términos de uso complementarios para las versiones preliminares de Microsoft Azure encontrará más términos legales que se aplican a las características de Azure que están en versión beta, en versión preliminar, o que todavía no se han lanzado con disponibilidad general. Para más información sobre esta versión preliminar específica, consulte la Información de Azure HDInsight sobre la versión preliminar de AKS. Para plantear preguntas o sugerencias sobre la característica, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Comunidad de Azure HDInsight.
Nota:
HDInsight en AKS usa de forma predeterminada el modelo de red de superposición de Azure CNI. Para más información, consulte Redes superpuestas de Azure CNI.
En este artículo se describe la información de red para ayudar a administrar las directivas de red en la empresa y realizar cambios necesarios en los grupos de seguridad de red (NSG) para un funcionamiento sin problemas de HDInsight en AKS.
Si usa firewall para controlar el tráfico saliente al clúster de HDInsight en AKS, debe asegurarse de que el clúster pueda comunicarse con los servicios críticos de Azure. Algunas de las reglas de seguridad de estos servicios son específicas de la región y algunas de ellas se aplican a todas las regiones de Azure.
Debe configurar las siguientes reglas de seguridad de red y aplicación en el firewall para permitir el tráfico saliente.
Tráfico común
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Usar |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Regla de seguridad de red | La comunicación segura por túnel entre los nodos y el plano de control. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Regla de seguridad de red | La comunicación segura por túnel entre los nodos y el plano de control. |
| Etiqueta de FQDN | AzureKubernetesService | HTTPS | 443 | Regla de seguridad de aplicaciones | Requerida por el servicio AKS. |
| Etiqueta de servicio | AzureMonitor | TCP | 443 | Regla de seguridad de red | Requerida para la integración con Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regla de seguridad de aplicaciones | Descarga la información de metadatos de la imagen de Docker para la configuración de HDInsight en AKS y la supervisión. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Supervisión y configuración de HDInsight en AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Regla de seguridad de aplicaciones | Autenticación. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Supervisión. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Supervisión. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Supervisión. |
| ** FQDN | FQDN del servidor de API (disponible una vez creado el clúster de AKS) | TCP | 443 | Regla de seguridad de red | Requerida a medida que los pods o las implementaciones en ejecución la usan para acceder al servidor de API. Puede obtener la información del clúster de AKS que se ejecuta detrás del grupo de clústeres. Para más información, consulte cómo obtener el FQDN del servidor de API mediante Azure Portal. |
Nota:
** Esta configuración no es necesaria si habilita AKS privado.
Tráfico específico del clúster
En la siguiente sección se describe cualquier tráfico de red específico, que requiere una forma de clúster, para ayudar a las empresas a planear y actualizar las reglas de red en consecuencia.
Trino
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Usar |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Obligatoria si Hive está habilitado. Es la propia cuenta de almacenamiento del usuario, como contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Regla de seguridad de aplicaciones | Obligatoria si Hive está habilitado. Es el propio servidor SQL Server del usuario, como contososqlserver.database.windows.net |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 | Regla de seguridad de red | Obligatoria si Hive está habilitado. Se usa para conectarse a SQL Server. Se recomienda permitir la comunicación saliente entre el cliente y todas las direcciones IP de Azure SQL de la región en los puertos en el intervalo de 11000 a 11999. Usar las etiquetas de servicio de SQL para facilitar la administración de este proceso. Al usar la directiva de conexión de redirect, consulte Intervalos de direcciones IP y etiquetas de servicio de Azure: Nube pública para obtener una lista de las direcciones IP de su región que debe permitir. |
Spark
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Usar |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regla de seguridad de aplicaciones | Spark Azure Data Lake Storage Gen2. Es la cuenta de almacenamiento del usuario, como contosottss.dfs.core.windows.net |
| Etiqueta de servicio | Storage<Region> (Almacenamiento). |
TCP | 445 | Regla de seguridad de red | Uso del protocolo SMB para conectarse a Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Regla de seguridad de aplicaciones | Obligatoria si Hive está habilitado. Es el propio servidor SQL Server del usuario, como contososqlserver.database.windows.net |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 | Regla de seguridad de red | Obligatoria si Hive está habilitado. Se usa para conectarse a SQL Server. Se recomienda permitir la comunicación saliente entre el cliente y todas las direcciones IP de Azure SQL de la región en los puertos en el intervalo de 11000 a 11999. Usar las etiquetas de servicio de SQL para facilitar la administración de este proceso. Al usar la directiva de conexión de redirect, consulte Intervalos de direcciones IP y etiquetas de servicio de Azure: Nube pública para obtener una lista de las direcciones IP de su región que debe permitir. |
Apache Flink
| Tipo | Punto de conexión de destino | Protocolo | Puerto | Tipo de regla de Azure Firewall | Usar |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Regla de seguridad de aplicaciones | Flink Azure Data Lake Storage Gens. Es la cuenta de almacenamiento del usuario, como contosottss.dfs.core.windows.net |