Ograniczanie ruchu do usługi HDInsight w usłudze AKS przy użyciu sieciowej grupy zabezpieczeń
Uwaga
Wycofamy usługę Azure HDInsight w usłudze AKS 31 stycznia 2025 r. Przed 31 stycznia 2025 r. należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure, aby uniknąć nagłego zakończenia obciążeń. Pozostałe klastry w ramach subskrypcji zostaną zatrzymane i usunięte z hosta.
Tylko podstawowa pomoc techniczna będzie dostępna do daty wycofania.
Ważne
Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje o tej konkretnej wersji zapoznawczej, zobacz Informacje o wersji zapoznawczej usługi Azure HDInsight w usłudze AKS. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie w usłudze AskHDInsight , aby uzyskać szczegółowe informacje i postępuj zgodnie z nami, aby uzyskać więcej aktualizacji w społeczności usługi Azure HDInsight.
Usługa HDInsight w usłudze AKS korzysta z zależności wychodzących usługi AKS i jest całkowicie zdefiniowana przy użyciu nazw FQDN, które nie mają statycznych adresów za nimi. Brak statycznych adresów IP oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra przy użyciu adresów IP.
Jeśli nadal wolisz używać sieciowej grupy zabezpieczeń do zabezpieczania ruchu, musisz skonfigurować następujące reguły w sieciowej grupie zabezpieczeń, aby wykonać gruboziarnistą kontrolę.
Dowiedz się , jak utworzyć regułę zabezpieczeń w sieciowej grupie zabezpieczeń.
Reguły zabezpieczeń ruchu wychodzącego (ruch wychodzący)
Typowy ruch
| Element docelowy | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Tag usługi | AzureCloud.<Region> |
UDP | 1194 |
| Tag usługi | AzureCloud.<Region> |
TCP | 9000 |
| Dowolne | * | TCP | 443, 80 |
Ruch specyficzny dla klastra
W tej sekcji opisano ruch specyficzny dla klastra, który może zastosować przedsiębiorstwo.
Trino
| Element docelowy | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Dowolne | * | TCP | 1433 |
| Tag usługi | SQL.<Region> |
TCP | 11000-11999 |
platforma Spark
| Element docelowy | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Dowolne | * | TCP | 1433 |
| Tag usługi | SQL.<Region> |
TCP | 11000-11999 |
| Tag usługi | Składowanie.<Region> |
TCP | 445 |
Apache Flink
Brak
Reguły zabezpieczeń dla ruchu przychodzącego (ruch przychodzący)
Po utworzeniu klastrów niektóre publiczne adresy IP ruchu przychodzącego również zostaną utworzone. Aby zezwolić na wysyłanie żądań do klastra, należy zezwolić na listę ruchu do tych publicznych adresów IP z portem 80 i 443.
Następujące polecenie interfejsu wiersza polecenia platformy Azure może ułatwić uzyskanie publicznego adresu IP ruchu przychodzącego:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Źródło | Źródłowe adresy IP/zakresy CIDR | Protokół | Port |
|---|---|---|---|
| Adresy IP | <Public IP retrieved from above command> |
TCP | 80 |
| Adresy IP | <Public IP retrieved from above command> |
TCP | 443 |