Vereist uitgaand verkeer voor HDInsight op AKS
Belangrijk
Azure HDInsight op AKS is op 31 januari 2025 buiten gebruik gesteld. Meer informatie met deze aankondiging.
U moet uw workloads migreren naar Microsoft Fabric- of een gelijkwaardig Azure-product om plotselinge beëindiging van uw workloads te voorkomen.
Belangrijk
Deze functie is momenteel beschikbaar als preview-versie. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews meer juridische voorwaarden bevatten die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet in algemene beschikbaarheid zijn vrijgegeven. Zie Azure HDInsight in AKS preview-informatievoor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight- met de details en volgt u ons voor meer updates over Azure HDInsight Community-.
Notitie
HDInsight in AKS maakt standaard gebruik van azure CNI Overlay-netwerkmodel. Zie Azure CNI Overlay-netwerkenvoor meer informatie.
Dit artikel bevat een overzicht van de netwerkinformatie om het netwerkbeleid bij ondernemingen te beheren en noodzakelijke wijzigingen aan te brengen in de netwerkbeveiligingsgroepen (NSG's) voor een soepele werking van HDInsight in AKS.
Als u firewall gebruikt om uitgaand verkeer naar uw HDInsight op AKS-cluster te beheren, moet u ervoor zorgen dat uw cluster kan communiceren met kritieke Azure-services. Sommige van de beveiligingsregels voor deze services zijn regiospecifiek en sommige hiervan zijn van toepassing op alle Azure-regio's.
U moet de volgende netwerk- en toepassingsbeveiligingsregels in uw firewall configureren om uitgaand verkeer toe te staan.
Algemeen verkeer
| Soort | Bestemmingspunt | Protocol | Poort | Azure-firewallregeltype | Gebruiken |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Netwerkbeveiligingsregel | Beveiligde communicatie met tunneling tussen de knooppunten en het besturingsvlak. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Netwerkbeveiligingsregel | Beveiligde communicatie met tunneling tussen de knooppunten en het besturingsvlak. |
| FQDN-tag | AzureKubernetesService | HTTPS | 443 | Toepassingsbeveiligingsregel | Vereist door de AKS-service. |
| Servicetag | AzureMonitor | TCP | 443 | Netwerkbeveiligingsregel | Vereist voor integratie met Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Toepassingsbeveiligingsregel | Hiermee downloadt u metagegevens van de Docker-afbeeldingen voor het instellen van HDInsight op AKS en monitoring. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Bewaking en installatie van HDInsight in AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Toepassingsbeveiligingsregel | Authenticatie. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Toezicht. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Toezicht. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Bewaking |
| **FQDN | API Server FQDN (beschikbaar zodra een AKS-cluster is gemaakt) | TCP | 443 | Netwerkbeveiligingsregel | Vereist als de actieve pods/implementaties deze gebruiken voor toegang tot de API-server. U kunt deze informatie ophalen uit het AKS-cluster dat zich achter de resourcepool van clusters bevindt. Zie hoe u de FQDN- api-server kunt ophalen met behulp van Azure Portal voor meer informatie. |
Notitie
** Deze configuratie is niet vereist als u privé-AKS inschakelt.
Clusterspecifiek verkeer
In de onderstaande sectie vindt u een overzicht van specifiek netwerkverkeer, dat een clustershape vereist, om ondernemingen te helpen de netwerkregels dienovereenkomstig te plannen en bij te werken.
Trino
| Type | Bestemmingspunt | Protocol | Haven | Azure Firewall-regeltype | Gebruiken |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Vereist als Hive is ingeschakeld. Het is het eigen opslagaccount van de gebruiker, zoals contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Toepassingsbeveiligingsregel | Vereist als Hive is ingeschakeld. Het is de eigen SQL-server van de gebruiker, zoals contososqlserver.database.windows.net |
| Servicetag | Sql.<Region> |
TCP | 11000-11999 | Netwerkbeveiligingsregel | Vereist als Hive is ingeschakeld. Deze wordt gebruikt om verbinding te maken met SQL Server. Het is raadzaam uitgaande communicatie van de client naar alle Azure SQL IP-adressen in de regio toe te staan op poorten in het bereik van 11000 tot 11999. Gebruik de servicetags voor SQL om dit proces eenvoudiger te beheren. Wanneer u het omleidingsverbindingsbeleid gebruikt, raadpleegt u de Azure IP-bereiken en servicetags – de openbare cloud voor een lijst met de IP-adressen van uw regio die u moet toestaan. |
Vonk
| Type | Bestemmingseindpunt | Protocol | Haven | Type Azure Firewall-regel | Gebruiken |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Spark Azure Data Lake Storage Gen2. Het opslagaccount van de gebruiker: Zoals contosottss.dfs.core.windows.net |
| Servicetag | Opslag.<Region> |
TCP | 445 | Netwerkbeveiligingsregel | SMB-protocol gebruiken om verbinding te maken met Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Toepassingsbeveiligingsregel | Vereist als Hive is ingeschakeld. Het is de eigen SQL-server van de gebruiker, zoals contososqlserver.database.windows.net |
| Servicetag | Sql.<Region> |
TCP | 11000-11999 | Netwerkbeveiligingsregel | Vereist als Hive is ingeschakeld. Deze wordt gebruikt om verbinding te maken met SQL Server. Het is raadzaam uitgaande communicatie van de client naar alle Azure SQL IP-adressen in de regio toe te staan op poorten in het bereik van 11000 tot 11999. Gebruik de servicetags voor SQL om dit proces eenvoudiger te beheren. Wanneer u het omleidingsbeleid voor verbindingen gebruikt, raadpleegt u de Azure IP-bereiken en servicetags – openbare cloud voor een lijst van de IP-adressen in uw regio die u moet toestaan. |
Apache Flink
| Type | Bestemmingspunt | Protocol | Haven | Type Azure Firewall-regel | Gebruiken |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Toepassingsbeveiligingsregel | Flink Azure Data Lake Storage Gens. Het opslagaccount van de gebruiker: bijvoorbeeld contosottss.dfs.core.windows.net |