次の方法で共有

HDInsight on AKS で必要な送信トラフィック

  • [アーティクル]

Note

Azure HDInsight on AKS は 2025 年 1 月 31 日に廃止されます。 2025 年 1 月 31 日より前に、ワークロードを Microsoft Fabric または同等の Azure 製品に移行することで、ワークロードの突然の終了を回避する必要があります。 サブスクリプション上に残っているクラスターは停止され、ホストから削除されることになります。

提供終了日までは基本サポートのみが利用できます。

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加の使用条件」に記載されています。 この特定のプレビューについては、「Microsoft HDInsight on AKS のプレビュー情報」を参照してください。 質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信してください。また、その他の更新情報については、Azure HDInsight コミュニティのフォローをお願いいたします。

Note

AKS 上の HDInsight は、既定で Azure CNI オーバーレイ ネットワーク モデルを使用します。 詳細については、Azure CNI オーバーレイ ネットワークに関する記事を参照してください。

この記事では、企業のネットワーク ポリシーを管理し、HDInsight on AKS の機能を円滑に機能させるためにネットワーク セキュリティ グループ (NSG) に必要な変更を加える際に役立つネットワーク情報について説明します。

ファイアウォールを使用して HDInsight on AKS クラスターへの送信トラフィックを制御する場合、クラスターが Azure の重要なサービスと通信できるようにする必要があります。 これらのサービスで使用されるセキュリティ規則は、一部がリージョン固有であり、一部がすべての Azure リージョンに適用されます。

送信トラフィックを許可するには、ファイアウォールで次のネットワークとアプリケーションのセキュリティ規則を構成する必要があります。

一般的なトラフィック

Type 送信先エンドポイント Protocol [ポート] Azure Firewall の規則の種類 使用
** ServiceTag AzureCloud.<Region> UDP 1194 ネットワークのセキュリティ規則 ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信。
** ServiceTag AzureCloud.<Region> TCP 9000 ネットワークのセキュリティ規則 ノードとコントロール プレーンの間のセキュリティで保護されたトンネル通信。
FQDN タグ AzureKubernetesService HTTPS 443 アプリケーションのセキュリティ規則 AKS サービスで必要です。
サービス タグ AzureMonitor TCP 443 ネットワークのセキュリティ規則 Azure Monitor との統合で必要です。
FQDN hiloprodrpacr00.azurecr.io HTTPS 443 アプリケーションのセキュリティ規則 HDInsight on AKS のセットアップと監視のために、Docker イメージのメタデータ情報をダウンロードします。
FQDN *.blob.core.windows.net HTTPS 443 アプリケーションのセキュリティ規則 HDInsight on AKS の監視とセットアップ。
FQDN graph.microsoft.com HTTPS 443 アプリケーションのセキュリティ規則 [認証] :
FQDN *.servicebus.windows.net HTTPS 443 アプリケーションのセキュリティ規則 監視。
FQDN *.table.core.windows.net HTTPS 443 アプリケーションのセキュリティ規則 監視。
FQDN gcs.prod.monitoring.core.windows.net HTTPS 443 アプリケーションのセキュリティ規則 監視。
** FQDN API サーバー FQDN (AKS クラスターの作成後に使用可能) TCP 443 ネットワークのセキュリティ規則 実行中のポッドまたはデプロイで API サーバーへのアクセスに使用されるため、必須です。 この情報は、クラスター プールの背後で実行されている AKS クラスターから取得できます。 詳細については、Azure portal を使用して API サーバーの FQDN を取得する方法の記事を参照してください。

Note

** プライベート AKS を有効にする場合、この構成は必要ありません。

クラスター固有のトラフィック

次のセクションでは、企業が適切にネットワーク規則を計画および更新するためにクラスターの形状に必要な特定のネットワーク トラフィックについて説明します。

Trino

Type 送信先エンドポイント Protocol [ポート] Azure Firewall の規則の種類 用途
FQDN *.dfs.core.windows.net HTTPS 443 アプリケーションのセキュリティ規則 Hive が有効な場合に必要です。 ユーザー自身のストレージ アカウント (contosottss.dfs.core.windows.net など)
FQDN *.database.windows.net mysql 1433 アプリケーションのセキュリティ規則 Hive が有効な場合に必要です。 ユーザー自身の SQL サーバー (contososqlserver.database.windows.net など)
サービス タグ Sql.<Region> TCP 11000 ~ 11999 ネットワークのセキュリティ規則 Hive が有効な場合に必要です。 SQL Server への接続で使用されます。 11000 から 11999 の範囲のポートで、クライアントから、リージョン内のすべての Azure SQL IP アドレスへのアウトバウンド通信を許可することをお勧めします。 SQL のサービス タグを使用すると、このプロセスの管理が簡単になります。 リダイレクト接続ポリシーを使用する場合は、「Azure IP 範囲とサービス タグ – パブリック クラウド」で、リージョンの許可対象の IP アドレスの一覧を参照してください。

Spark

Type 送信先エンドポイント Protocol [ポート] Azure Firewall の規則の種類 用途
FQDN *.dfs.core.windows.net HTTPS 443 アプリケーションのセキュリティ規則 Spark Azure Data Lake Storage Gen2。 ユーザーのストレージ アカウント (contosottss.dfs.core.windows.net など)
サービス タグ Storage]\(次へ: ストレージ\)<Region> を選択します。 TCP 445 ネットワークのセキュリティ規則 Azure File に接続する SMB プロトコルを使用します。
FQDN *.database.windows.net mysql 1433 アプリケーションのセキュリティ規則 Hive が有効な場合に必要です。 ユーザー自身の SQL サーバー (contososqlserver.database.windows.net など)
サービス タグ Sql.<Region> TCP 11000 ~ 11999 ネットワークのセキュリティ規則 Hive が有効な場合に必要です。 SQL Server への接続に使用します。 11000 から 11999 の範囲のポートで、クライアントから、リージョン内のすべての Azure SQL IP アドレスへのアウトバウンド通信を許可することをお勧めします。 SQL のサービス タグを使用すると、このプロセスの管理が簡単になります。 リダイレクト接続ポリシーを使用する場合は、「Azure IP 範囲とサービス タグ – パブリック クラウド」で、リージョンの許可対象の IP アドレスの一覧を参照してください。
Type 送信先エンドポイント Protocol [ポート] Azure Firewall の規則の種類 用途
FQDN *.dfs.core.windows.net HTTPS 443 アプリケーションのセキュリティ規則 Flink Azure Data Lake Storage Gens。 ユーザーのストレージ アカウント (contosottss.dfs.core.windows.net など)

次のステップ