NSG gebruiken om verkeer naar HDInsight op AKS te beperken
Notitie
Op 31 januari 2025 wordt Azure HDInsight buiten gebruik gesteld op AKS. Vóór 31 januari 2025 moet u uw workloads migreren naar Microsoft Fabric of een gelijkwaardig Azure-product om te voorkomen dat uw workloads plotseling worden beëindigd. De resterende clusters in uw abonnement worden gestopt en verwijderd van de host.
Alleen basisondersteuning is beschikbaar tot de buitengebruikstellingsdatum.
Belangrijk
Deze functie is momenteel beschikbaar in preview. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews bevatten meer juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid. Zie Azure HDInsight op AKS Preview-informatie voor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight met de details en volgt u ons voor meer updates in de Azure HDInsight-community.
HDInsight op AKS is afhankelijk van uitgaande AKS-afhankelijkheden en ze zijn volledig gedefinieerd met FQDN's, die geen statische adressen hebben. Het ontbreken van statische IP-adressen betekent dat u geen netwerkbeveiligingsgroepen (NSG's) kunt gebruiken om het uitgaande verkeer van het cluster te vergrendelen met behulp van IP-adressen.
Als u nog steeds liever NSG gebruikt om uw verkeer te beveiligen, moet u de volgende regels in de NSG configureren om een grof beheer uit te voeren.
Meer informatie over het maken van een beveiligingsregel in NSG.
Uitgaande beveiligingsregels (uitgaand verkeer)
Algemeen verkeer
| Bestemming | Doeleindpunt | Protocol | Port |
|---|---|---|---|
| Servicetag | AzureCloud.<Region> |
UDP | 1194 |
| Servicetag | AzureCloud.<Region> |
TCP | 9000 |
| Alle | * | TCP | 443, 80 |
Clusterspecifiek verkeer
In deze sectie wordt een overzicht gegeven van clusterspecifiek verkeer dat een onderneming kan toepassen.
Trino
| Bestemming | Doeleindpunt | Protocol | Port |
|---|---|---|---|
| Alle | * | TCP | 1433 |
| Servicetag | SQL.<Region> |
TCP | 11000-11999 |
Spark
| Bestemming | Doeleindpunt | Protocol | Port |
|---|---|---|---|
| Alle | * | TCP | 1433 |
| Servicetag | SQL.<Region> |
TCP | 11000-11999 |
| Servicetag | Opslag.<Region> |
TCP | 445 |
Apache Flink
Geen
Inkomende beveiligingsregels (inkomend verkeer)
Wanneer clusters worden gemaakt, worden er ook bepaalde openbare IP-adressen voor inkomend verkeer gemaakt. Als u wilt toestaan dat aanvragen naar het cluster worden verzonden, moet u het verkeer naar deze openbare IP-adressen toestaan met poort 80 en 443.
Met de volgende Azure CLI-opdracht kunt u het openbare IP-adres voor inkomend verkeer ophalen:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Bron | IP-adressen/CIDR-bereiken van bron | Protocol | Haven |
|---|---|---|---|
| IP-adressen | <Public IP retrieved from above command> |
TCP | 80 |
| IP-adressen | <Public IP retrieved from above command> |
TCP | 443 |