Utilizzare NSG per limitare il traffico verso HDInsight del servizio Azure Kubernetes
Nota
Azure HDInsight su AKS verrà ritirato il 31 gennaio 2025. Prima del 31 gennaio 2025, sarà necessario eseguire la migrazione dei carichi di lavoro a Microsoft Fabric o a un prodotto Azure equivalente per evitare interruzioni improvvise dei carichi di lavoro. I cluster rimanenti nella sottoscrizione verranno arrestati e rimossi dall’host.
Solo il supporto di base sarà disponibile fino alla data di ritiro.
Importante
Questa funzionalità è attualmente disponibile solo in anteprima. Le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale. Per informazioni su questa anteprima specifica, vedere Informazioni sull'anteprima di Azure HDInsight nel servizio Azure Kubernetes. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire Microsoft per altri aggiornamenti nella Community di Azure HDInsight.
HDInsight del servizio Azure Kubernetes si affida alle dipendenze in uscita del servizio Azure Kubernetes e queste vengono quasi interamente definite con nomi di dominio completo, senza indirizzi statici sottostanti. La mancanza di indirizzi IP statici non consente di utilizzare i gruppi di sicurezza di rete (NSG) per bloccare il traffico in uscita dal cluster utilizzando gli IP.
Se si preferisce ancora utilizzare NSG per proteggere il traffico, è necessario configurare le seguenti regole in NSG per effettuare un controllo grossolano.
Informazioni su come creare una regola di sicurezza in NSG.
Regole di sicurezza in uscita (traffico in uscita)
Traffico comune
| Destinazione | Endpoint di destinazione | Protocollo | Porta |
|---|---|---|---|
| Tag del servizio | AzureCloud.<Region> |
UDP | 1194 |
| Tag del servizio | AzureCloud.<Region> |
TCP | 9000 |
| Any | * | TCP | 443, 80 |
Traffico specifico del cluster
Questa sezione illustra il traffico specifico del cluster che un'azienda può applicare.
Trino
| Destinazione | Endpoint di destinazione | Protocollo | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Tag del servizio | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destinazione | Endpoint di destinazione | Protocollo | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Tag del servizio | Sql.<Region> |
TCP | 11000-11999 |
| Tag del servizio | Archiviazione.<Region> |
TCP | 445 |
Apache Flink
None
Regole di sicurezza in ingresso (traffico in ingresso)
Quando vengono creati i cluster, vengono creati anche alcuni IP pubblici di ingresso. Per consentire l'invio di richieste al cluster, è necessario consentire l'invio di traffico a questi IP pubblici con le porte 80 e 443.
Il seguente comando dell’interfaccia della riga di comando di Azure può aiutare a ottenere l'IP pubblico di ingresso:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Source (Sorgente) | Indirizzi IP/intervalli CIDR di origine | Protocollo | Porta |
|---|---|---|---|
| Indirizzi IP | <Public IP retrieved from above command> |
TCP | 80 |
| Indirizzi IP | <Public IP retrieved from above command> |
TCP | 443 |