次の方法で共有

NSG を使用して AKS 上の HDInsight へのトラフィックを制限する

  • [アーティクル]

大事な

AKS 上の Azure HDInsight は、2025 年 1 月 31 日に廃止されました。 このお知らせ について詳しく知ることができます。

ワークロードの突然の終了を回避するには、ワークロードを Microsoft Fabric または同等の Azure 製品 に移行する必要があります。

大事な

この機能は現在プレビュー段階です。 Microsoft Azure プレビューの 追加使用条件 には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される、より多くの法的条件が含まれています。 この特定のプレビューの詳細については、AKS プレビュー情報 Azure HDInsightを参照してください。 ご質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信し、最新情報については Azure HDInsight Communityをフォローしてください。

AKS 上の HDInsight は AKS 送信依存関係に依存しており、完全に FQDN で定義されており、背後に静的アドレスはありません。 静的 IP アドレスがないということは、IP を使用してクラスターからの送信トラフィックをロックダウンするためにネットワーク セキュリティ グループ (NSG) を使用できないことを意味します。

それでも NSG を使用してトラフィックをセキュリティで保護する場合は、粗い制御を行うために NSG で次の規則を構成する必要があります。

NSG でセキュリティ規則を作成する方法説明します。

送信セキュリティ規則 (アウトバウンド トラフィック / エグレス トラフィック)

一般的なトラフィック

行き先 宛先エンドポイント 議定書
サービス タグ AzureCloud。<Region> UDP(ユーザー・データグラム・プロトコル) 1194
サービス タグ AzureCloud。<Region> TCP 9000
任意 * TCP 443, 80

クラスター固有のトラフィック

このセクションでは、企業が適用できるクラスター固有のトラフィックについて説明します。

Trino

行き先 宛先エンドポイント 議定書
任意 * TCP 1433
サービス タグ Sql.<Region> TCP 11000-11999

火花

行き先 宛先エンドポイント 議定書
任意 * TCP 1433
サービス タグ Sql.<Region> TCP 11000-11999
サービス タグ 貯蔵。<Region> TCP 445

何一つ

受信セキュリティ規則 (イングレス トラフィック)

クラスターが作成されると、特定のイングレス パブリック IP も作成されます。 クラスターへの要求の送信を許可するには、ポート 80 と 443 でこれらのパブリック IP へのトラフィックを許可リストする必要があります。

次の Azure CLI コマンドは、イングレス パブリック IP を取得するのに役立ちます。

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
ソース ソース IP アドレス/CIDR 範囲 議定書
IP アドレス <Public IP retrieved from above command>  TCP 80
IP アドレス <Public IP retrieved from above command>  TCP 443