Użyj sieciowej grupy zabezpieczeń, aby ograniczyć ruch do HDInsight na AKS
Ważny
Usługa Azure HDInsight w usłudze AKS została wycofana 31 stycznia 2025 r. Dowiedz się więcej w tym ogłoszeniu.
Aby uniknąć nagłego kończenia obciążeń, należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure.
Ważny
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe warunki użytkowania platformy Microsoft Azure zawierają więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje na temat tej konkretnej wersji zapoznawczej, zobacz informacje dotyczące wersji zapoznawczej Azure HDInsight na AKS. W przypadku pytań lub sugestii dotyczących funkcji, prosimy o przesłanie zgłoszenia na AskHDInsight z szczegółami oraz o śledzenie nas, aby uzyskać więcej informacji na temat społeczność Azure HDInsight.
Usługa HDInsight na AKS opiera się na zależnościach wychodzących AKS, które są całkowicie zdefiniowane za pomocą FQDN, nie mając przypisanych do nich statycznych adresów. Brak statycznych adresów IP oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra przy użyciu adresów IP.
Jeśli nadal wolisz używać sieciowej grupy zabezpieczeń do zabezpieczania ruchu, musisz skonfigurować następujące reguły w sieciowej grupie zabezpieczeń, aby wykonać gruboziarnistą kontrolę.
Dowiedz się , jak utworzyć regułę zabezpieczeń w Network Security Group.
Reguły zabezpieczeń ruchu wychodzącego (ruch wychodzący)
Typowy ruch
| Cel | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Tag usługi | AzureCloud.<Region> |
UDP | 1194 |
| Tag usługi | AzureCloud.<Region> |
TCP | 9000 |
| Jakikolwiek | * | TCP | 443, 80 |
Ruch specyficzny dla klastra
W tej sekcji opisano ruch specyficzny dla klastra, który może zastosować przedsiębiorstwo.
Trino
| Cel | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Jakikolwiek | * | TCP | 1433 |
| Tag usługi | Sql.<Region> |
TCP | 11000-11999 |
Iskra
| Cel | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Jakikolwiek | * | TCP | 1433 |
| Tag usługi | Sql.<Region> |
TCP | 11000-11999 |
| Tag usługi | Składowanie.<Region> |
TCP | 445 |
Apache Flink
Żaden
Reguły zabezpieczeń ruchu przychodzącego (Ingress traffic)
Po utworzeniu klastrów niektóre publiczne adresy IP ruchu przychodzącego również zostaną utworzone. Aby zezwolić na wysyłanie żądań do klastra, należy zezwolić na listę ruchu do tych publicznych adresów IP z portem 80 i 443.
Następujące polecenie Azure CLI może ułatwić uzyskanie publicznego adresu IP ingress:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Źródło | Źródłowe adresy IP/zakresy CIDR | Protokół | Port |
|---|---|---|---|
| Adresy IP | <Public IP retrieved from above command> |
TCP | 80 |
| Adresy IP | <Public IP retrieved from above command> |
TCP | 443 |