Traffico in uscita necessario per HDInsight nel servizio Azure Kubernetes
Nota
Azure HDInsight su AKS verrà ritirato il 31 gennaio 2025. Prima del 31 gennaio 2025, sarà necessario eseguire la migrazione dei carichi di lavoro a Microsoft Fabric o a un prodotto Azure equivalente per evitare interruzioni improvvise dei carichi di lavoro. I cluster rimanenti nella sottoscrizione verranno arrestati e rimossi dall’host.
Solo il supporto di base sarà disponibile fino alla data di ritiro.
Importante
Questa funzionalità è attualmente disponibile solo in anteprima. Le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale. Per informazioni su questa anteprima specifica, vedere Informazioni sull'anteprima di Azure HDInsight nel servizio Azure Kubernetes. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire Microsoft per altri aggiornamenti nella Community di Azure HDInsight.
Nota
HDInsight nel servizio Azure Kubernetes usa il modello di rete Azure CNI Overlay per impostazione predefinita. Per altre informazioni, vedere Rete Azure CNI Overlay.
Questo articolo illustra le informazioni di rete per gestire i criteri di rete aziendali e apportare le modifiche necessarie ai gruppi di sicurezza di rete (NSG) per il corretto funzionamento di HDInsight nel servizio Azure Kubernetes.
Se si usa il firewall per controllare il traffico in uscita verso il cluster HDInsight nel servizio Azure Kubernetes, è necessario assicurarsi che il cluster possa comunicare con i servizi critici di Azure. Alcune delle regole di sicurezza per questi servizi sono specifiche dell'area e alcune di esse si applicano a tutte le aree di Azure.
È necessario configurare le regole di sicurezza della rete e delle applicazioni seguenti nel firewall per consentire il traffico in uscita.
Traffico comune
| Type | Endpoint di destinazione | Protocollo | Port | Tipi di regole del Firewall di Azure | Utilizzo |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Regola di sicurezza di rete | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Regola di sicurezza di rete | Per la comunicazione sicura con tunneling tra i nodi e il piano di controllo. |
| Tag FQDN | AzureKubernetesService | HTTPS | 443 | Regola di sicurezza dell'applicazione | Richiesto dal servizio Azure Kubernetes. |
| Tag del servizio | AzureMonitor | TCP | 443 | Regola di sicurezza di rete | Obbligatorio per l'integrazione con Monitoraggio di Azure. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regola di sicurezza dell'applicazione | Scarica le informazioni sui metadati dell'immagine Docker per la configurazione di HDInsight nel servizio Azure Kubernetes e il monitoraggio. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Regola di sicurezza dell'applicazione | Monitoraggio e configurazione di HDInsight nel servizio Azure Kubernetes. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Regola di sicurezza dell'applicazione | Autenticazione. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Regola di sicurezza dell'applicazione | Monitoraggio. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Regola di sicurezza dell'applicazione | Monitoraggio. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regola di sicurezza dell'applicazione | Monitoraggio. |
| ** FQDN | FQDN del server API (disponibile dopo la creazione del cluster del servizio Azure Kubernetes) | TCP | 443 | Regola di sicurezza di rete | Obbligatorio perché i pod/le distribuzioni in esecuzione lo usano per accedere al server API. È possibile ottenere queste informazioni dal cluster del servizio Azure Kubernetes in esecuzione dietro il pool di cluster. Per altre informazioni, vedere come ottenere il nome di dominio completo del server API tramite il portale di Azure. |
Nota
** Questa configurazione non è necessaria se si abilita il servizio Azure Kubernetes privato.
Traffico specifico del cluster
La sezione seguente descrive qualsiasi traffico di rete specifico, richiesto da una forma cluster, per aiutare le aziende a pianificare e aggiornare le regole di rete di conseguenza.
Trino
| Type | Endpoint di destinazione | Protocollo | Port | Tipi di regole del Firewall di Azure | Utilizzo |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regola di sicurezza dell'applicazione | Obbligatorio se Hive è abilitato. È il proprio account di archiviazione dell'utente, ad esempio contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Regola di sicurezza dell'applicazione | Obbligatorio se Hive è abilitato. È il server SQL dell'utente, ad esempio contososqlserver.database.windows.net |
| Tag del servizio | Sql.<Region> |
TCP | 11000-11999 | Regola di sicurezza di rete | Obbligatorio se Hive è abilitato. Viene usato per la connessione a SQL Server. È consigliabile consentire la comunicazione in uscita dal client a tutti gli indirizzi IP SQL di Azure nell'area sulle porte nell'intervallo compreso tra 11000 e 11999. Usare i tag del servizio per SQL per semplificare la gestione di questo processo. Quando si usano i criteri di connessione di reindirizzamento, fare riferimento agli Intervalli IP di Azure e ai tag di servizio - Cloud pubblico per un elenco degli indirizzi IP dell'area da consentire. |
Spark
| Type | Endpoint di destinazione | Protocollo | Port | Tipi di regole del Firewall di Azure | Utilizzo |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regola di sicurezza dell'applicazione | Spark Azure Data Lake Storage Gen2. È l'account di archiviazione dell'utente, ad esempio contosottss.dfs.core.windows.net |
| Tag del servizio | Archiviazione.<Region> |
TCP | 445 | Regola di sicurezza di rete | Usare il protocollo SMB per connettersi a File di Azure |
| FQDN | *.database.windows.net | mysql | 1433 | Regola di sicurezza dell'applicazione | Obbligatorio se Hive è abilitato. È il server SQL dell'utente, ad esempio contososqlserver.database.windows.net |
| Tag del servizio | Sql.<Region> |
TCP | 11000-11999 | Regola di sicurezza di rete | Obbligatorio se Hive è abilitato. Viene usato per connettersi a SQL Server. È consigliabile consentire la comunicazione in uscita dal client a tutti gli indirizzi IP SQL di Azure nell'area sulle porte nell'intervallo compreso tra 11000 e 11999. Usare i tag del servizio per SQL per semplificare la gestione di questo processo. Quando si usano i criteri di connessione di reindirizzamento, fare riferimento agli Intervalli IP di Azure e ai tag di servizio - Cloud pubblico per un elenco degli indirizzi IP dell'area da consentire. |
Apache Flink
| Type | Endpoint di destinazione | Protocollo | Port | Tipi di regole del Firewall di Azure | Utilizzo |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Regola di sicurezza dell'applicazione | Flink Azure Data Lake Storage Gens. È l'account di archiviazione dell'utente, ad esempio contosottss.dfs.core.windows.net |