Trafic sortant requis pour HDInsight sur AKS
Important
Azure HDInsight sur AKS a été mis hors service le 31 janvier 2025. En savoir plus avec cette annonce.
Vous devez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent pour éviter l’arrêt brusque de vos charges de travail.
Important
Cette fonctionnalité est actuellement en préversion. Les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure incluent des termes juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez informations sur Azure HDInsight sur AKS en préversion. Pour des questions ou des suggestions de fonctionnalités, envoyez une demande sur AskHDInsight avec les détails et suivez-nous pour plus de mises à jour sur Communauté Azure HDInsight.
Note
HDInsight sur AKS utilise par défaut le modèle de réseau Overlay Azure CNI. Pour plus d’informations, consultez le réseau superposé Azure CNI.
Cet article décrit les informations de mise en réseau pour aider à gérer les stratégies réseau au niveau de l’entreprise et à apporter les modifications nécessaires aux groupes de sécurité réseau (NSG) pour faciliter le fonctionnement de HDInsight sur AKS.
Si vous utilisez un pare-feu pour contrôler le trafic sortant vers votre cluster HDInsight sur AKS, vous devez vous assurer que votre cluster peut communiquer avec les services Azure critiques. Certaines des règles de sécurité de ces services sont spécifiques à la région, et certaines d’entre elles s’appliquent à toutes les régions Azure.
Vous devez configurer les règles de sécurité réseau et d’application suivantes dans votre pare-feu pour autoriser le trafic sortant.
Trafic courant
| Type | Point de terminaison de destination | Protocole | Port | Type de règle de pare-feu Azure | Utiliser |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Règle de sécurité réseau | Communication sécurisée tunnelnée entre les nœuds et le plan de contrôle. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Règle de sécurité réseau | Communication sécurisée tunnelnée entre les nœuds et le plan de contrôle. |
| Balise FQDN | AzureKubernetesService | HTTPS | 443 | Règle de sécurité des applications | Requis par le service AKS. |
| Balise de service | AzureMonitor | TCP | 443 | Règle de sécurité réseau | Requis pour l’intégration à Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Règle de sécurité des applications | Télécharge les informations de métadonnées de l’image Docker pour la configuration et la surveillance de HDInsight sur AKS. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Règle de sécurité des applications | Surveillance et configuration de HDInsight sur AKS. |
| Nom de Domaine Completement Qualifié (FQDN) | graph.microsoft.com | HTTPS | 443 | Règle de sécurité des applications | Authentification. |
| Nom de Domaine Completement Qualifié (FQDN) | *.servicebus.windows.net | HTTPS | 443 | Règle de sécurité des applications | Surveillance. |
| nom de domaine pleinement qualifié (FQDN) | *.table.core.windows.net | HTTPS | 443 | Règle de sécurité des applications | Surveillance. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Règle de sécurité des applications | Surveillance. |
| **FQDN (Nom de Domaine Complet) | FQDN du serveur d'API (disponible une fois le cluster AKS créé) | TCP | 443 | Règle de sécurité réseau | Obligatoire, car les pods/déploiements en cours d’exécution l’utilisent pour accéder au serveur d’API. Vous pouvez obtenir ces informations à partir du cluster AKS faisant partie du groupe de clusters. Pour plus d’informations, consultez comment obtenir le nom de domaine complet du serveur API en utilisant le portail Azure. |
Note
** Cette configuration n’est pas requise si vous activez AKS privé.
Trafic spécifique au cluster
La section ci-dessous décrit tout trafic réseau spécifique requis par une forme de cluster pour aider les entreprises à planifier et à mettre à jour les règles réseau en conséquence.
Trino
| Type | Point de terminaison de destination | Protocole | Port | Type de règle de pare-feu Azure | Utiliser |
|---|---|---|---|---|---|
| nom de domaine entièrement qualifié (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Règle de sécurité des applications | Obligatoire si Hive est activé. Il s’agit du propre compte de stockage de l’utilisateur, tel que contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Règle de sécurité des applications | Obligatoire si Hive est activé. Il s’agit du propre serveur SQL de l’utilisateur, tel que contososqlserver.database.windows.net |
| Balise de service | Sql.<Region> |
TCP | 11000-11999 | Règle de sécurité réseau | Obligatoire si Hive est activé. Il est utilisé pour la connexion à SQL Server. Il est recommandé d’autoriser la communication sortante du client vers toutes les adresses IP Azure SQL de la région sur les ports de la plage de 11 000 à 11999. Utilisez les balises de service pour SQL pour faciliter la gestion de ce processus. Lorsque vous utilisez la stratégie de connexion de redirection, reportez-vous à la plages d’adresses IP Azure et balises de service – Cloud public pour obtenir la liste des adresses IP de votre région à autoriser. |
Étincelle
| Type | Point de terminaison de destination | Protocole | Port | Type de règle de pare-feu Azure | Utiliser |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Règle de sécurité des applications | Spark Azure Data Lake Storage Gen2. Il s’agit du compte de stockage de l’utilisateur : par exemple, contosottss.dfs.core.windows.net |
| Balise de service | Stockage.<Region> |
TCP | 445 | Règle de sécurité réseau | Utiliser le protocole SMB pour se connecter à Azure File |
| Nom de domaine complet (FQDN) | *.database.windows.net | mysql | 1433 | Règle de sécurité des applications | Obligatoire si Hive est activé. Il s’agit du propre serveur SQL de l’utilisateur, tel que contososqlserver.database.windows.net |
| Balise de service | Sql.<Region> |
TCP | 11000-11999 | Règle de sécurité réseau | Obligatoire si Hive est activé. Il est utilisé pour se connecter à SQL Server. Il est recommandé d’autoriser la communication sortante du client vers toutes les adresses IP Azure SQL de la région sur les ports de la plage de 11 000 à 11999. Utilisez les balises de service pour SQL pour faciliter la gestion de ce processus. Lorsque vous utilisez la stratégie de connexion Redirect, consultez le document Plages d'adresses IP Azure et Balises de service – Cloud public pour obtenir la liste des adresses IP et plages de votre région à autoriser. |
Apache Flink
| Type | Point de terminaison de destination | Protocole | Port | Type de règle de pare-feu Azure | Utiliser |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Règle de sécurité des applications | Flink Azure Data Lake Storage Gens. Il s’agit du compte de stockage de l’utilisateur : par exemple, contosottss.dfs.core.windows.net |