Utiliser le groupe de sécurité réseau pour restreindre le trafic vers HDInsight sur AKS
Important
Azure HDInsight sur AKS a été mis hors service le 31 janvier 2025. En savoir plus avec cette annonce.
Vous devez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent pour éviter l’arrêt brusque de vos charges de travail.
Important
Cette fonctionnalité est actuellement en préversion. Les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure incluent des termes juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez informations sur Azure HDInsight sur AKS en préversion. Pour des questions ou des suggestions de fonctionnalités, envoyez une demande sur AskHDInsight avec les détails et suivez-nous pour plus de mises à jour sur Communauté Azure HDInsight.
HDInsight sur AKS s’appuie sur les dépendances sortantes AKS et elles sont entièrement définies par des FQDN, qui ne sont pas associées à des adresses IP statiques. L’absence d’adresses IP statiques signifie qu’il n’est pas possible d’utiliser des groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant du cluster à l’aide d’adresses IP.
Si vous préférez toujours utiliser le NSG pour sécuriser votre trafic, vous devez configurer les règles suivantes dans le NSG pour effectuer un contrôle grossier.
Découvrez comment créer une règle de sécurité dans un NSG.
Règles de sécurité sortantes (trafic sortant)
Trafic courant
| Destination | Point de terminaison de destination | Protocole | Port |
|---|---|---|---|
| Balise de service | AzureCloud.<Region> |
UDP | 1194 |
| Balise de service | AzureCloud.<Region> |
TCP | 9000 |
| N'importe quel | * | TCP | 443, 80 |
Trafic spécifique au cluster
Cette section décrit le trafic spécifique au cluster qu’une entreprise peut appliquer.
Trino
| Destination | Point de terminaison de destination | Protocole | Port |
|---|---|---|---|
| N'importe quel | * | TCP | 1433 |
| Balise de service | Sql.<Region> |
TCP | 11000-11999 |
Étincelle
| Destination | Point de terminaison de destination | Protocole | Port |
|---|---|---|---|
| N'importe quel | * | TCP | 1433 |
| Balise de service | Sql.<Region> |
TCP | 11000-11999 |
| Balise de service | Stockage.<Region> |
TCP | 445 |
Apache Flink
Aucun
Règles de sécurité entrantes (trafic d’entrée)
Lorsque des clusters sont créés, certaines adresses IP publiques d’entrée sont également créées. Pour autoriser l’envoi de demandes au cluster, vous devez autoriser le trafic vers ces adresses IP publiques avec le port 80 et 443.
La commande Azure CLI suivante peut vous aider à obtenir l’adresse IP publique d’entrée :
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Source | Adresses IP source/plages CIDR | Protocole | Port |
|---|---|---|---|
| Adresses IP | <Public IP retrieved from above command> |
TCP | 80 |
| Adresses IP | <Public IP retrieved from above command> |
TCP | 443 |