Tráfego de saída necessário para HDInsight no AKS
Observação
Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.
Somente o suporte básico estará disponível até a data de desativação.
Importante
Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. No caso de perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.
Observação
O HDInsight no AKS usa o modelo de rede sobreposição de CNI do Azure por padrão. Para obter mais informações, consulte Rede de Sobreposição da CNI do Azure.
Este artigo descreve as informações de rede para ajudar a gerenciar as políticas de rede na empresa e fazer as alterações necessárias nos NSGs (grupos de segurança de rede) para um bom funcionamento do HDInsight no AKS.
Se você usa firewall para controlar o tráfego de saída no HDInsight no cluster do AKS, verifique se o cluster pode se comunicar com os serviços críticos do Azure. Algumas das regras de segurança desses serviços são específicas da região e alguns deles se aplicam a todas as regiões do Azure.
Você precisa configurar as regras de segurança de rede e aplicativo a seguir no firewall para permitir o tráfego de saída.
Tráfego comum
| Tipo | Ponto de extremidade de destino | Protocolo | Porta | Tipo de regra do Firewall do Azure | Usar |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o painel de controle. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o painel de controle. |
| Marca FQDN | AzureKubernetesService | HTTPS | 443 | Regra de segurança do aplicativo | Exigido pelo serviço AKS. |
| Marca de serviço | AzureMonitor | TCP | 443 | Regra de segurança de rede | Exigido para integração com o Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regra de segurança do aplicativo | Baixa informações de metadados da imagem do Docker para instalação do HDInsight no AKS e monitoramento. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento e configuração do HDInsight no AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Regra de segurança do aplicativo | Autenticação. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento. |
| ** FQDN | FQDN do servidor de API (disponível depois que o cluster do AKS é criado) | TCP | 443 | Regra de segurança de rede | Exigido porque pods/implantações em execução o usam para acessar o Servidor de API. Você pode obter essas informações do cluster do AKS em execução atrás do pool de clusters. Para obter mais informações, confira como obter FQDN do servidor de API usando o portal do Azure. |
Observação
** Essa configuração não será necessária se você habilitar o AKS privado.
Tráfego específico do cluster
A seção abaixo descreve qualquer tráfego de rede específico, exigido por uma forma de cluster, para ajudar as empresas a planejar e atualizar as regras de rede adequadamente.
Trino
| Tipo | Ponto de extremidade de destino | Protocolo | Porta | Tipo de regra do Firewall do Azure | Uso |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Necessário se o Hive estiver habilitado. É a própria conta de armazenamento do usuário, como contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver habilitado. É o próprio SQL Server do usuário, como contososqlserver.database.windows.net |
| Marca de serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver habilitado. É usado para se conectar ao SQL Server. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP de SQL do Azure na região em portas no intervalo de 11000 a 11999. Use as marcas de serviço do SQL para facilitar o gerenciamento. Ao usar a política de conexão de redirecionamento, veja os Intervalos de IP do Azure e marcas de serviço – Nuvem pública para ver a lista dos endereços IP da sua região a serem permitidos. |
Spark
| Tipo | Ponto de extremidade de destino | Protocolo | Porta | Tipo de regra do Firewall do Azure | Uso |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Spark Azure Data Lake Storage Gen2. É a conta de armazenamento do usuário, como contosottss.dfs.core.windows.net |
| Marca de serviço | Storage.<Region> |
TCP | 445 | Regra de segurança de rede | Usar o protocolo SMB para se conectar ao Arquivo do Azure |
| FQDN | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver habilitado. É o próprio SQL Server do usuário, como contososqlserver.database.windows.net |
| Marca de serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver habilitado. É usado para se conectar ao SQL Server. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP de SQL do Azure na região em portas no intervalo de 11000 a 11999. Use as marcas de serviço do SQL para facilitar o gerenciamento. Ao usar a política de conexão de redirecionamento, veja os Intervalos de IP do Azure e marcas de serviço – Nuvem pública para ver a lista dos endereços IP da sua região a serem permitidos. |
Apache Flink
| Tipo | Ponto de extremidade de destino | Protocolo | Porta | Tipo de regra do Firewall do Azure | Uso |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Regra de segurança do aplicativo | Flink Azure Data Lake Storage Gens. É a conta de armazenamento do usuário, como contosottss.dfs.core.windows.net |