Wymagany ruch wychodzący dla HDInsight na AKS
Ważny
Usługa Azure HDInsight w usłudze AKS została wycofana 31 stycznia 2025 r. Dowiedz się więcej dzięki temu ogłoszeniu.
Aby uniknąć nagłego kończenia obciążeń, należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure.
Ważny
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe warunki użytkowania platformy Microsoft Azure zawierają więcej warunków prawnych, które dotyczą funkcji Azure w wersji beta, w wersji zapoznawczej, lub które w inny sposób są jeszcze niedostępne w ogólnej dostępności. Aby uzyskać informacje na temat tej konkretnej wersji zapoznawczej, zobacz informacje o wersji zapoznawczej Azure HDInsight na AKS. W przypadku pytań lub sugestii dotyczących funkcji, prosimy o złożenie zapytania na AskHDInsight z odpowiednimi szczegółami oraz obserwowanie nas, aby być na bieżąco z aktualnościami w społeczności Azure HDInsight.
Notatka
Usługa HDInsight na platformie AKS domyślnie używa modelu nakładkowej sieci Azure CNI. Aby uzyskać więcej informacji, zobacz sieć nakładkową Azure CNI.
W tym artykule opisano informacje dotyczące sieci ułatwiające zarządzanie zasadami sieciowymi w przedsiębiorstwie i wprowadzanie niezbędnych zmian w sieciowych grupach zabezpieczeń w celu zapewnienia bezproblemowego funkcjonowania usługi HDInsight w usłudze AKS.
Jeśli używasz zapory do kontrolowania ruchu wychodzącego z klastra HDInsight na klastrze AKS, upewnij się, że klaster może komunikować się z krytycznymi usługami platformy Azure. Niektóre reguły zabezpieczeń dla tych usług są specyficzne dla regionu, a niektóre z nich dotyczą wszystkich regionów świadczenia usługi Azure.
Aby zezwolić na ruch wychodzący, należy skonfigurować następujące reguły zabezpieczeń sieci i aplikacji w zaporze.
Typowy ruch
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Użyj |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Reguła zabezpieczeń sieci | Tunelowana bezpieczna komunikacja między węzłami a płaszczyzną sterowania. |
| ** Etykieta serwisowa | AzureCloud.<Region> |
TCP | 9000 | Reguła zabezpieczeń sieci | Tunelowana bezpieczna komunikacja między węzłami a płaszczyzną sterowania. |
| FQDN Tag | Usługa Azure Kubernetes | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Wymagane przez usługę AKS. |
| Tag usługi | AzureMonitor | TCP | 443 | Reguła zabezpieczeń sieci | Wymagana do integracji z usługą Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Pobiera informacje o metadanych obrazu platformy Docker w celu skonfigurowania usługi HDInsight w usłudze AKS i monitorowania. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie i konfigurowanie HDInsight na AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Uwierzytelnianie. |
| Pełna Nazwa Domeny (FQDN) | *.servicebus.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie. |
| FQDN (pełna nazwa domeny) | *.table.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie. |
| **FQDN (w pełni kwalifikowana nazwa domeny) | Nazwa FQDN serwera API (dostępna po utworzeniu klastra AKS) | TCP | 443 | Reguła zabezpieczeń sieci | Wymagane, ponieważ działające zasobniki/wdrożenia używają go do uzyskiwania dostępu do serwera interfejsu API. Tę informację można uzyskać z klastra AKS działającego w zapleczu puli klastrów. Aby uzyskać więcej informacji, zobacz jak uzyskać FQDN serwera API za pomocą Azure Portal. |
Notatka
** Ta konfiguracja nie jest wymagana, jeśli włączysz prywatną usługę AKS.
Ruch specyficzny dla klastra
W poniższej sekcji opisano dowolny konkretny ruch sieciowy, którego wymaga kształt klastra, aby pomóc przedsiębiorstwom odpowiednio zaplanować i zaktualizować reguły sieci.
Trino
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Używać |
|---|---|---|---|---|---|
| pełna nazwa domeny (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Wymagane, jeśli program Hive jest włączony. Jest to własne konto Storage użytkownika, takie jak contosottss.dfs.core.windows.net |
| FQDN (w pełni kwalifikowana nazwa domeny) | *.database.windows.net | mysql | 1433 | Reguła zabezpieczeń aplikacji | Wymagane, jeśli program Hive jest włączony. Jest to własny serwer SQL użytkownika, taki jak contososqlserver.database.windows.net |
| Tag usługi | Sql.<Region> |
TCP | 11000-11999 | Reguła zabezpieczeń sieci | Wymagane, jeśli program Hive jest włączony. Jest on używany podczas nawiązywania połączenia z serwerem SQL. Zaleca się zezwolenie na komunikację wychodzącą od klienta do wszystkich adresów IP usługi Azure SQL w regionie na portach z zakresu od 11000 do 11999. Użyj tagów usługi dla języka SQL, aby ułatwić zarządzanie tym procesem. Podczas korzystania z zasady połączenia przekierowania, odwołaj się do dokumentu Zakresy adresów IP platformy Azure i tagi usług – chmura publiczna, aby uzyskać listę adresów IP twojego regionu, które należy dodać do listy dozwolonych. |
Iskra
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Użyj |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Spark Azure Data Lake Storage Gen2. To konto magazynowe użytkownika: takie jak contosottss.dfs.core.windows.net |
| Tag usługi | Składowanie.<Region> |
TCP | 445 | Reguła zabezpieczeń sieci | Nawiązywanie połączenia z usługą Azure File przy użyciu protokołu SMB |
| FQDN | *.database.windows.net | mysql | 1433 | Reguła zabezpieczeń aplikacji | Wymagane, jeśli program Hive jest włączony. Jest to własny serwer SQL użytkownika, taki jak contososqlserver.database.windows.net |
| Tag usługi | Sql.<Region> |
TCP | 11000-11999 | Reguła zabezpieczeń sieci | Wymagane, jeśli program Hive jest włączony. Służy do nawiązywania połączenia z serwerem SQL. Zaleca się zezwolenie na komunikację wychodzącą od klienta do wszystkich adresów IP usługi Azure SQL w regionie na portach z zakresu od 11000 do 11999. Użyj tagów usługi dla języka SQL, aby ułatwić zarządzanie tym procesem. W przypadku korzystania z zasad połączenia przekierowania zapoznaj się z zakresami adresów IP platformy Azure i tagami usług — chmura publiczna, aby uzyskać listę dozwolonych adresów IP twojego regionu. |
Apache Flink
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Używać |
|---|---|---|---|---|---|
| FQDN (pełna kwalifikowana nazwa domeny) | *.dfs.core.windows.net |
HTTPS | 443 | Reguła zabezpieczeń aplikacji | Flink Azure Data Lake Storage Gens. To jest konto Storage użytkownika: takie jak contosottss.dfs.core.windows.net |