AKS 上の HDInsight に必要な送信トラフィック
大事な
AKS 上の Azure HDInsight は、2025 年 1 月 31 日に廃止されました。 この発表 でについて詳しく学びましょう。
ワークロードの突然の終了を回避するには、ワークロードを Microsoft Fabric または同等の Azure 製品 に移行する必要があります。
重要
この機能は現在プレビュー段階です。 Microsoft Azure プレビューの 追加使用条件 には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される、より多くの法的条件が含まれています。 この特定のプレビューの詳細については、AKS プレビュー情報 Azure HDInsightを参照してください。 ご質問や機能提案については、AskHDInsight に詳細を記載したリクエストを送信し、最新の情報については Azure HDInsight Communityをフォローしてください。
手記
AKS 上の HDInsight では、既定で Azure CNI オーバーレイ ネットワーク モデルが使用されます。 詳細については、「Azure CNI オーバーレイ ネットワーク」を参照してください。
この記事では、企業のネットワーク ポリシーを管理し、AKS で HDInsight を円滑に機能させるためにネットワーク セキュリティ グループ (NSG) に必要な変更を加える際に役立つネットワーク情報について説明します。
ファイアウォールを使用して AKS クラスター上の HDInsight への送信トラフィックを制御する場合は、クラスターが重要な Azure サービスと通信できることを確認する必要があります。 これらのサービスのセキュリティ規則の一部はリージョン固有であり、その一部はすべての Azure リージョンに適用されます。
送信トラフィックを許可するには、ファイアウォールで次のネットワークとアプリケーションのセキュリティ規則を構成する必要があります。
一般的なトラフィック
| 種類 | 宛先エンドポイント | 議定書 | 港 | Azure Firewall 規則の種類 | 使う |
|---|---|---|---|---|---|
| ** サービスタグ | AzureCloud。<Region> |
UDP | 1194 | ネットワーク セキュリティ規則 | ノードとコントロールプレーン間のセキュアトンネル通信。 |
| ** ServiceTag | AzureCloud。<Region> |
TCP | 9000 | ネットワーク セキュリティ規則 | ノードとコントロールプレーンの間にトンネルを通した安全な通信。 |
| FQDN タグ | Azure Kubernetes サービス | HTTPS | 443 | アプリケーションのセキュリティ規則 | AKS サービスに必要です。 |
| サービス タグ | AzureMonitor | TCP | 443 | ネットワーク セキュリティ規則 | Azure Monitor との統合に必要です。 |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | アプリケーションのセキュリティ規則 | AKS での HDInsight のセットアップと監視のために、Docker イメージのメタデータ情報をダウンロードします。 |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | アプリケーションのセキュリティ規則 | AKS での HDInsight の監視とセットアップ。 |
| FQDN | graph.microsoft.com | HTTPS | 443 | アプリケーションのセキュリティ規則 | 認証。 |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | アプリケーションのセキュリティ規則 | モニタリング。 |
| FQDN | *.table.core.windows.net | HTTPS | 443 | アプリケーションのセキュリティ規則 | モニタリング。 |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | アプリケーションのセキュリティ規則 | モニタリング。 |
| ** FQDN | API Server FQDN (AKS クラスターの作成後に使用可能) | TCP | 443 | ネットワーク セキュリティ規則 | 実行中のポッド/デプロイで API Server へのアクセスに使用されるため、必須です。 この情報は、クラスター プールの背後で実行されている AKS クラスターから取得できます。 詳細については、Azure portal を使用して API Server FQDN を取得する方法の を参照してください。 |
手記
** プライベート AKS を有効にする場合、この構成は必要ありません。
クラスター固有のトラフィック
次のセクションでは、企業がそれに応じてネットワーク ルールを計画および更新するために必要な特定のネットワーク トラフィックについて説明します。
Trino
| 種類 | 宛先エンドポイント | 議定書 | 港 | Azure Firewall 規則の種類 | 使う |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | アプリケーションのセキュリティ規則 | Hive が有効な場合は必須。 ユーザー自身のストレージ アカウント (contosottss.dfs.core.windows.net など) |
| FQDN | *.database.windows.net | mysql | 1433 | アプリケーションのセキュリティ規則 | Hive が有効な場合は必須。 ユーザー自身の SQL サーバー (contososqlserver.database.windows.net など) |
| サービス タグ | Sql.<Region> |
TCP | 11000-11999 | ネットワーク セキュリティ規則 | Hive が有効な場合は必須。 これは、SQL Server への接続に使用されます。 11000 ~ 11999 の範囲のポートで、クライアントからリージョン内のすべての Azure SQL IP アドレスへの送信通信を許可することをお勧めします。 SQL 用のサービス タグを使用して、このプロセスを管理しやすくします。 リダイレクト接続ポリシーを使用する場合は、許可するリージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ - パブリック クラウド」を参照してください。 |
火花
| 種類 | 宛先エンドポイント | 議定書 | 港 | Azure Firewall 規則の種類 | 使う |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | アプリケーションのセキュリティ規則 | Spark Azure Data Lake Storage Gen2。 ユーザーのストレージ アカウント (contosottss.dfs.core.windows.net など) |
| サービス タグ | 貯蔵。<Region> |
TCP | 445 | ネットワーク セキュリティ規則 | SMB プロトコルを使用して Azure File に接続する |
| FQDN | *.database.windows.net | mysql | 1433 | アプリケーションのセキュリティ規則 | Hive が有効な場合は必須。 ユーザー自身の SQL サーバー (contososqlserver.database.windows.net など) |
| サービス タグ | Sql.<Region> |
TCP | 11000-11999 | ネットワーク セキュリティ規則 | Hive が有効な場合は必須。 SQL Server への接続に使用されます。 11000 ~ 11999 の範囲のポートで、クライアントからリージョン内のすべての Azure SQL IP アドレスへの送信通信を許可することをお勧めします。 SQL 用のサービス タグを使用して、このプロセスを管理しやすくします。 リダイレクト接続ポリシーを使用する場合は、許可するリージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ - パブリック クラウド」を参照してください。 |
Apache Flink
| 種類 | 宛先エンドポイント | 議定書 | 港 | Azure Firewall 規則の種類 | 使う |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | アプリケーションのセキュリティ規則 | Azure Data Lake Storage Gens を Flink します。 ユーザーのストレージ アカウント (contosottss.dfs.core.windows.net など) |
次の手順
- ファイアウォールを使用して送信トラフィックを制御し、規則を適用する方法について説明します。
- NSG を使用してトラフィックのを制限する方法について説明します。