Partager via


Utiliser NSG pour restreindre le trafic vers HDInsight sur AKS

Remarque

Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.

Seul le support de base est disponible jusqu’à la date de mise hors service.

Important

Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.

HDInsight sur AKS s'appuie sur les dépendances sortantes AKS et elles sont entièrement définies avec des noms de domaine complets, qui n'ont pas d'adresses statiques derrière eux. Le manque d'adresses IP statiques signifie que l'on ne peut pas utiliser les groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant du cluster à l'aide d'adresses IP.

Si vous préférez toujours utiliser le groupe de réseau de sécurité pour sécuriser votre trafic, vous devez configurer les règles dans les suivantes le groupe de réseau de sécurité pour effectuer un contrôle grossière.

Découvrez comment créer une règle de sécurité dans NSG.

Règles de sécurité sortantes (trafic de sortie)

Trafic commun

Destination Point de terminaison de destination Protocol Port
Étiquette du service AzureCloud.<Region> UDP 1194
Étiquette du service AzureCloud.<Region> TCP 9000
Quelconque * TCP 443, 80

Trafic spécifique au cluster

Cette section décrit le trafic spécifique au cluster qu'une entreprise peut appliquer.

Trino

Destination Point de terminaison de destination Protocol Port
Quelconque * TCP 1433
Étiquette du service Sql.<Region> TCP 11000-11999

Spark

Destination Point de terminaison de destination Protocol Port
Quelconque * TCP 1433
Étiquette du service Sql.<Region> TCP 11000-11999
Étiquette du service Stockage<Region>. TCP 445

Aucun

Règles de sécurité entrantes (trafic entrant)

Lorsque des clusters sont créés, certaines adresses IP publiques d'entrée sont également créées. Pour autoriser l'envoi de requêtes au cluster, vous devez autoriser le trafic vers ces adresses IP publiques avec les ports 80 et 443.

La commande Azure CLI suivante peut vous aider à obtenir l’adresse IP publique d’entrée :

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
Source Adresses IP sources/plages CIDR Protocole Port
Adresses IP <Public IP retrieved from above command>  TCP 80
Adresses IP <Public IP retrieved from above command>  TCP 443