NSG を使用して HDInsight on AKS へのトラフィックを制限する
Note
Azure HDInsight on AKS は 2025 年 1 月 31 日に廃止されます。 2025 年 1 月 31 日より前に、ワークロードを Microsoft Fabric または同等の Azure 製品に移行することで、ワークロードの突然の終了を回避する必要があります。 サブスクリプション上に残っているクラスターは停止され、ホストから削除されることになります。
提供終了日までは基本サポートのみが利用できます。
重要
現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加の使用条件」に記載されています。 この特定のプレビューについては、「Microsoft HDInsight on AKS のプレビュー情報」を参照してください。 質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信してください。また、その他の更新情報については、Azure HDInsight コミュニティのフォローをお願いいたします。
HDInsight on AKS は AKS の送信依存関係を利用します。この依存関係は、背後に静的アドレスがない FQDN を使用してすべて定義されています。 静的 IP アドレスがないということは、ネットワーク セキュリティ グループ (NSG) を使用して IP を使用するクラスターからのアウトバウンド トラフィックをロック ダウンできないことを意味します。
それでも NSG を使用してトラフィックをセキュリティで保護する場合は、粗い制御を行うように NSG で次の規則を構成する必要があります。
NSG でセキュリティ規則を作成する方法に関するページをご覧ください。
送信セキュリティ規則 (エグレス トラフィック)
一般的なトラフィック
宛先 | 送信先エンドポイント | Protocol | [ポート] |
---|---|---|---|
サービス タグ | AzureCloud.<Region> |
UDP | 1194 |
サービス タグ | AzureCloud.<Region> |
TCP | 9000 |
Any | * | TCP | 443、80 |
クラスター固有のトラフィック
このセクションでは、企業が適用できるクラスター固有のトラフィックについて説明します。
Trino
宛先 | 送信先エンドポイント | Protocol | Port |
---|---|---|---|
Any | * | TCP | 1433 |
サービス タグ | Sql.<Region> |
TCP | 11000 ~ 11999 |
Spark
宛先 | 送信先エンドポイント | Protocol | Port |
---|---|---|---|
Any | * | TCP | 1433 |
サービス タグ | Sql.<Region> |
TCP | 11000 ~ 11999 |
サービス タグ | Storage]\(次へ: ストレージ\)<Region> を選択します。 |
TCP | 445 |
Apache Flink
なし
受信セキュリティ規則 (イングレス トラフィック)
クラスターが作成されると、特定のイングレス パブリック IP も作成されます。 クラスターに要求を送信できるようにするには、ポート 80 と 443 でこれらのパブリック IP へのトラフィックを許可リストに載せる必要があります。
次の Azure CLI コマンドは、イングレス パブリック IP を取得するのに役立ちます。
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
source | ソース IP アドレス/CIDR 範囲 | プロトコル | Port |
---|---|---|---|
IP アドレス | <Public IP retrieved from above command> |
TCP | 80 |
IP アドレス | <Public IP retrieved from above command> |
TCP | 443 |