Utiliser NSG pour restreindre le trafic vers HDInsight sur AKS
Remarque
Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.
Seul le support de base est disponible jusqu’à la date de mise hors service.
Important
Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.
HDInsight sur AKS s'appuie sur les dépendances sortantes AKS et elles sont entièrement définies avec des noms de domaine complets, qui n'ont pas d'adresses statiques derrière eux. Le manque d'adresses IP statiques signifie que l'on ne peut pas utiliser les groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant du cluster à l'aide d'adresses IP.
Si vous préférez toujours utiliser le groupe de réseau de sécurité pour sécuriser votre trafic, vous devez configurer les règles dans les suivantes le groupe de réseau de sécurité pour effectuer un contrôle grossière.
Découvrez comment créer une règle de sécurité dans NSG.
Règles de sécurité sortantes (trafic de sortie)
Trafic commun
Destination | Point de terminaison de destination | Protocol | Port |
---|---|---|---|
Étiquette du service | AzureCloud.<Region> |
UDP | 1194 |
Étiquette du service | AzureCloud.<Region> |
TCP | 9000 |
Quelconque | * | TCP | 443, 80 |
Trafic spécifique au cluster
Cette section décrit le trafic spécifique au cluster qu'une entreprise peut appliquer.
Trino
Destination | Point de terminaison de destination | Protocol | Port |
---|---|---|---|
Quelconque | * | TCP | 1433 |
Étiquette du service | Sql.<Region> |
TCP | 11000-11999 |
Spark
Destination | Point de terminaison de destination | Protocol | Port |
---|---|---|---|
Quelconque | * | TCP | 1433 |
Étiquette du service | Sql.<Region> |
TCP | 11000-11999 |
Étiquette du service | Stockage<Region> . |
TCP | 445 |
Apache Flink
Aucun
Règles de sécurité entrantes (trafic entrant)
Lorsque des clusters sont créés, certaines adresses IP publiques d'entrée sont également créées. Pour autoriser l'envoi de requêtes au cluster, vous devez autoriser le trafic vers ces adresses IP publiques avec les ports 80 et 443.
La commande Azure CLI suivante peut vous aider à obtenir l’adresse IP publique d’entrée :
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
Source | Adresses IP sources/plages CIDR | Protocole | Port |
---|---|---|---|
Adresses IP | <Public IP retrieved from above command> |
TCP | 80 |
Adresses IP | <Public IP retrieved from above command> |
TCP | 443 |