Usare il gruppo di sicurezza di rete per limitare il traffico su HDInsight su AKS
Importante
Azure HDInsight su AKS è stato ritirato il 31 gennaio 2025. Scopri di più con questo annuncio.
È necessario eseguire la migrazione dei carichi di lavoro a Microsoft Fabric o a un prodotto Azure equivalente per evitare la chiusura brusca dei carichi di lavoro.
Importante
Questa funzionalità è attualmente in anteprima. Le condizioni supplementari per l'utilizzo per le anteprime di Microsoft Azure includono termini legali più validi applicabili alle funzionalità di Azure in versione beta, in anteprima o altrimenti non ancora rilasciate nella disponibilità generale. Per informazioni su questa anteprima specifica, vedere informazioni sull'anteprima di Azure HDInsight su AKS. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire Microsoft per altri aggiornamenti su Community di Azure HDInsight.
HDInsight su AKS si basa sulle dipendenze in uscita di AKS e queste sono completamente definite con FQDN, che non hanno indirizzi statici dietro di esse. La mancanza di indirizzi IP statici significa che non è possibile usare gruppi di sicurezza di rete (NSG) per bloccare il traffico in uscita dal cluster usando indirizzi IP.
Se si preferisce comunque usare un gruppo di sicurezza di rete per proteggere il traffico, è necessario configurare le regole seguenti nel gruppo di sicurezza di rete per eseguire un controllo con granularità grossolana.
Scopri come creare una regola di sicurezza nel gruppo di sicurezza di rete NSG.
Regole di sicurezza in uscita (traffico in uscita)
Traffico comune
| Destinazione | Endpoint di destinazione | Protocollo | Porto |
|---|---|---|---|
| Codice di servizio | AzureCloud.<Region> |
UDP | 1194 |
| Tag del servizio | AzureCloud.<Region> |
TCP | 9000 |
| Qualunque | * | TCP | 443, 80 |
Traffico specifico del cluster
Questa sezione descrive il traffico specifico del cluster che un'organizzazione può applicare.
Trino
| Destinazione | Endpoint di destinazione | Protocollo | Porto |
|---|---|---|---|
| Qualunque | * | TCP | 1433 |
| Tag del servizio | Sql.<Region> |
TCP | 11000-11999 |
Scintilla
| Destinazione | Endpoint di destinazione | Protocollo | Porto |
|---|---|---|---|
| Qualunque | * | TCP | 1433 |
| Codice di servizio | Sql.<Region> |
TCP | 11000-11999 |
| Tag del servizio | Immagazzinamento.<Region> |
TCP | 445 |
Apache Flink
Nessuno
Regole di sicurezza in ingresso (traffico in ingresso)
Quando vengono creati cluster, vengono creati anche determinati indirizzi IP pubblici in ingresso. Per consentire l'invio delle richieste al cluster, è necessario consentire il traffico a questi indirizzi IP pubblici con la porta 80 e 443.
Il comando seguente dell'interfaccia della riga di comando di Azure consente di ottenere l'indirizzo IP pubblico in ingresso:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fonte | Indirizzi IP di origine/intervalli CIDR | Protocollo | Porto |
|---|---|---|---|
| Indirizzi IP | <Public IP retrieved from above command> |
TCP | 80 |
| Indirizzi IP | <Public IP retrieved from above command> |
TCP | 443 |