Usar o NSG para restringir o tráfego ao HDInsight no AKS
Importante
O Azure HDInsight no AKS se aposentou em 31 de janeiro de 2025. Saiba mais com este comunicado.
Você precisa migrar suas cargas de trabalho para microsoft fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esse recurso está atualmente em versão prévia. Os termos de uso complementares para o Microsoft Azure Previews incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, consulte Azure HDInsight em informações de visualização do AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para mais atualizações sobre a Comunidade Azure HDInsight .
O HDInsight no AKS depende das saídas do AKS, que são inteiramente definidas por FQDNs, sem endereços estáticos atrás deles. A falta de endereços IP estáticos significa que não é possível usar NSGs (Grupos de Segurança de Rede) para bloquear o tráfego de saída do cluster usando IPs.
Se você ainda preferir usar o NSG para proteger o tráfego, será necessário configurar as regras a seguir no NSG para realizar um controle de nível grosseiro.
Saiba como criar uma regra de segurança no NSG.
Regras de segurança de saída (tráfego de egresso)
Tráfego comum
| Destino | Ponto de Extremidade de Destino | Protocolo | Porto |
|---|---|---|---|
| Etiqueta de Serviço | AzureCloud.<Region> |
UDP | 1194 |
| Etiqueta de Serviço | AzureCloud.<Region> |
TCP | 9000 |
| Qualquer | * | TCP | 443, 80 |
Tráfego específico do cluster
Esta seção descreve o tráfego específico do cluster que uma empresa pode aplicar.
Trino
| Destino | Ponto de Extremidade de Destino | Protocolo | Porto |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Marca de Serviço | Sql.<Region> |
TCP | 11000-11999 |
Fagulha
| Destino | Ponto Final | Protocolo | Porto |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Etiqueta de Serviço | Sql.<Region> |
TCP | 11000-11999 |
| Marca de Serviço | Armazenamento.<Region> |
TCP | 445 |
Apache Flink
Nenhum
Regras de segurança de entrada (tráfego de entrada)
Quando os clusters são criados, determinados IPs públicos de entrada também são criados. Para permitir que as solicitações sejam enviadas para o cluster, você precisa permitir a lista de tráfego para esses IPs públicos com as portas 80 e 443.
O seguinte comando da CLI do Azure pode ajudá-lo a obter o IP público de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fonte | Endereços IP de origem/intervalos CIDR | Protocolo | Porto |
|---|---|---|---|
| Endereços IP | <Public IP retrieved from above command> |
TCP | 80 |
| Endereços IP | <Public IP retrieved from above command> |
TCP | 443 |