Trafic sortant requis pour HDInsight sur AKS
Remarque
Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.
Seul le support de base est disponible jusqu’à la date de mise hors service.
Important
Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.
Remarque
HDInsight sur AKS utilise par défaut le modèle réseau de superposition Azure CNI. Pour plus d’informations, consultez Mise en réseau de superposition Azure CNI.
Cet article décrit les informations réseau pour aider à gérer les stratégies réseau au niveau de l’entreprise et à apporter les modifications nécessaires aux groupes de sécurité réseau (NSG) afin d’optimiser le fonctionnement de HDInsight sur AKS.
Si vous utilisez un pare-feu pour contrôler le trafic sortant vers votre cluster HDInsight sur AKS, vous devez veiller à ce que votre cluster puisse communiquer avec les services Azure critiques. Certaines règles de sécurité pour ces services sont propres à la région, et d’autres s’appliquent à toutes les régions Azure.
Vous devez configurer les règles de sécurité réseau et d’application suivantes dans votre pare-feu pour autoriser le trafic sortant.
Trafic commun
| Type | Point de terminaison de destination | Protocol | Port | Type de règle du Pare-feu Azure | Utiliser |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Règle de sécurité réseau | Communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Règle de sécurité réseau | Communications sécurisées par tunnel entre les nœuds et le plan de contrôle. |
| Étiquette FQDN | AzureKubernetesService | HTTPS | 443 | Règle de sécurité d’application | Requis par le service AKS. |
| Étiquette du service | AzureMonitor | TCP | 443 | Règle de sécurité réseau | Requis pour l’intégration à Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Règle de sécurité d’application | Télécharge les informations de métadonnées de l’image Docker pour la configuration de HDInsight sur AKS et le monitoring. |
| FQDN | *blob.core.windows.net | HTTPS | 443 | Règle de sécurité d’application | Monitoring et configuration de HDInsight sur AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Règle de sécurité d’application | Authentification. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Règle de sécurité d’application | Supervision. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Règle de sécurité d’application | Supervision. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Règle de sécurité d’application | Supervision. |
| ** FQDN | Nom de domaine complet du serveur d’API (disponible une fois le cluster AKS créé) | TCP | 443 | Règle de sécurité réseau | Obligatoire, car les pods/déploiements en cours d’exécution l’utilisent pour accéder au serveur d’API. Vous pouvez obtenir ces informations à partir du cluster AKS s’exécutant derrière le pool de clusters. Pour plus d’informations, consultez les instructions expliquant comment obtenir le nom de domaine complet du serveur d’API à l’aide du portail Azure. |
Remarque
** Cette configuration n’est pas requise si vous activez AKS privé.
Trafic propre au cluster
La section ci-dessous décrit tout trafic réseau spécifique requis par une forme de cluster, afin d’aider les entreprises à planifier et à mettre à jour les règles réseau en conséquence.
Trino
| Type | Point de terminaison de destination | Protocol | Port | Type de règle du Pare-feu Azure | Utilisation |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Règle de sécurité d’application | Obligatoire si Hive est activé. Il s’agit du propre compte de stockage de l’utilisateur, tel que contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Règle de sécurité d’application | Obligatoire si Hive est activé. Il s’agit du propre serveur SQL de l’utilisateur, tel que contososqlserver.database.windows.net |
| Étiquette du service | Sql.<Region> |
TCP | 11000-11999 | Règle de sécurité réseau | Obligatoire si Hive est activé. Il est utilisé pour la connexion à SQL Server. Il est recommandé pour autoriser les communications sortantes du client vers toutes les adresses IP Azure SQL de la région sur les ports de la plage comprise entre 11000 et 11999. Utilisez les étiquettes de service pour SQL afin de faciliter la gestion de ce processus. Lorsque vous utilisez la stratégie de connexion Redirection, reportez-vous à Plages d’adresses IP et étiquettes des services Azure – Cloud public pour obtenir la liste des adresses IP à autoriser dans votre région. |
Spark
| Type | Point de terminaison de destination | Protocol | Port | Type de règle du Pare-feu Azure | Utilisation |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Règle de sécurité d’application | Spark Azure Data Lake Storage Gen2. Il s’agit du compte de stockage de l’utilisateur, tel que contosottss.dfs.core.windows.net |
| Étiquette du service | Stockage<Region>. |
TCP | 445 | Règle de sécurité réseau | Utiliser le protocole SMB pour se connecter à Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Règle de sécurité d’application | Obligatoire si Hive est activé. Il s’agit du propre serveur SQL de l’utilisateur, tel que contososqlserver.database.windows.net |
| Étiquette du service | Sql.<Region> |
TCP | 11000-11999 | Règle de sécurité réseau | Obligatoire si Hive est activé. Il est utilisé pour se connecter à SQL Server. Il est recommandé pour autoriser les communications sortantes du client vers toutes les adresses IP Azure SQL de la région sur les ports de la plage comprise entre 11000 et 11999. Utilisez les étiquettes de service pour SQL afin de faciliter la gestion de ce processus. Lorsque vous utilisez la stratégie de connexion Redirection, reportez-vous à Plages d’adresses IP et étiquettes des services Azure – Cloud public pour obtenir la liste des adresses IP à autoriser dans votre région. |
Apache Flink
| Type | Point de terminaison de destination | Protocol | Port | Type de règle du Pare-feu Azure | Utilisation |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Règle de sécurité d’application | Flink Azure Data Lake Storage Gens. Il s’agit du compte de stockage de l’utilisateur, tel que contosottss.dfs.core.windows.net |