Tráfego de saída necessário para HDInsight no AKS
Importante
O Azure HDInsight no AKS se aposentou em 31 de janeiro de 2025. Saiba mais com este comunicado.
Você precisa migrar suas cargas de trabalho para microsoft fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esse recurso está atualmente em versão prévia. Os termos de uso complementares para o Microsoft Azure Previews incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, consulte Azure HDInsight em informações de visualização do AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight incluindo os detalhes e siga-nos para mais atualizações sobre a Comunidade do Azure HDInsight .
Nota
O HDInsight no AKS usa, por padrão, o modelo de rede de sobreposição da CNI do Azure. Para obter mais informações, consulte rede de sobreposição de CNI do Azure.
Este artigo descreve as informações de rede para ajudar a gerenciar as políticas de rede na empresa e fazer as alterações necessárias nos NSGs (grupos de segurança de rede) para um bom funcionamento do HDInsight no AKS.
Se você usar o firewall para controlar o tráfego de saída para o HDInsight no cluster do AKS, deverá garantir que o cluster possa se comunicar com serviços críticos do Azure. Algumas das regras de segurança para esses serviços são específicas da região e algumas se aplicam a todas as regiões do Azure.
Você precisa configurar as seguintes regras de segurança de rede e aplicativo no firewall para permitir o tráfego de saída.
Tráfego comum
| Tipo | Ponto de Destino | Protocolo | Porto | Tipo de regra do Firewall do Azure | Usar |
|---|---|---|---|---|---|
| ** Etiqueta de Serviço | AzureCloud.<Region> |
UDP | 1194 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o plano de controle. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o plano de controle. |
| Marca FQDN | Azure Kubernetes Serviço | HTTPS | 443 | Regra de segurança do aplicativo | Exigido pelo serviço AKS. |
| Etiqueta de Serviço | AzureMonitor | TCP | 443 | Regra de segurança de rede | Necessário para integração com o Azure Monitor. |
| FQDN (Nome de Domínio Completamente Qualificado) | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regra de segurança do aplicativo | Baixa informações de metadados da imagem do Docker para configuração e monitoramento do HDInsight no AKS. |
| Nome de Domínio Completo (FQDN) | *.blob.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento e configuração do HDInsight no AKS. |
| Nome de Domínio Totalmente Qualificado (FQDN) | graph.microsoft.com | HTTPS | 443 | Regra de segurança do aplicativo | Autenticação. |
| Nome de Domínio Totalmente Qualificado (FQDN) | *.servicebus.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| FQDN (Nome de Domínio Totalmente Qualificado) | *.table.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| Nome de Domínio Totalmente Qualificado (FQDN) | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| **Nome de Domínio Totalmente Qualificado (FQDN) | FQDN do servidor de API (disponível depois que o cluster do AKS é criado) | TCP | 443 | Regra de segurança de rede | Necessário pois os pods/implantações em execução utilizam-no para acessar o Servidor de API. Você pode obter essas informações do cluster do AKS em execução atrás do pool de clusters. Para obter mais informações, consulte como obter FQDN do servidor de API usando o portal do Azure. |
Nota
** Essa configuração não será necessária se você habilitar o AKS privado.
Tráfego específico do cluster
A seção abaixo descreve qualquer tráfego de rede específico, que uma forma de cluster requer, para ajudar as empresas a planejar e atualizar as regras de rede adequadamente.
Trino
| Tipo | Ponto de Extremidade de Destino | Protocolo | Porta | Tipo de regra do Firewall do Azure | Usar |
|---|---|---|---|---|---|
| Nome de Domínio Completo (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Necessário se o Hive estiver habilitado. É a própria conta de armazenamento do usuário, como contosottss.dfs.core.windows.net |
| Nome de Domínio Totalmente Qualificado (FQDN) | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver habilitado. É o próprio SQL Server do usuário, como contososqlserver.database.windows.net |
| Etiqueta de Serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver habilitado. Ele é usado na conexão com o SQL Server. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP do SQL do Azure na região em portas da faixa de 11000 a 11999. Use as Etiquetas de Serviço para SQL para facilitar o gerenciamento desse processo. Ao usar a política de conexão de redirecionamento, consulte o intervalos de IP do Azure e marcas de serviço – de nuvem pública para obter uma lista dos endereços IP da sua região para permitir. |
Fagulha
| Tipo | Ponto Final de Destino | Protocolo | Porto | Tipo de regra do Firewall do Azure | Usar |
|---|---|---|---|---|---|
| Nome de Domínio Completamente Qualificado (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Spark Azure Data Lake Storage Gen2. É a conta de Armazenamento do usuário: como contosottss.dfs.core.windows.net |
| Etiqueta de Serviço | Armazenamento.<Region> |
TCP | 445 | Regra de segurança de rede | Usar o protocolo SMB para se conectar ao Arquivo do Azure |
| Nome de Domínio Totalmente Qualificado (FQDN) | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver habilitado. É o próprio SQL Server do usuário, como contososqlserver.database.windows.net |
| Marca de Serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver habilitado. Ele é usado para se conectar ao SQL Server. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP do Azure SQL na região, nas portas no intervalo de 11000 a 11999. Use as Etiquetas de Serviço para SQL para tornar mais fácil o gerenciamento desse processo. Ao usar a política de conexão de redirecionamento, consulte os intervalos de IP do Azure e as marcas de serviço – Nuvem Pública para listar os endereços IP da sua região que devem ser permitidos. |
Apache Flink
| Tipo | Ponto de Extremidade de Destino | Protocolo | Porto | Tipo de regra do Firewall do Azure | Usar |
|---|---|---|---|---|---|
| FQDN (Nome de Domínio Completamente Qualificado) | *.dfs.core.windows.net |
HTTPS | 443 | Regra de segurança do aplicativo | Flink Azure Data Lake Storage Gens. É a conta de Armazenamento do usuário: como contosottss.dfs.core.windows.net |