Tráfego de saída necessário para o HDInsight no AKS
Nota
Vamos desativar o Azure HDInsight no AKS em 31 de janeiro de 2025. Antes de 31 de janeiro de 2025, você precisará migrar suas cargas de trabalho para o Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho. Os clusters restantes na sua subscrição serão interrompidos e removidos do anfitrião.
Apenas o apoio básico estará disponível até à data da reforma.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Para obter informações sobre essa visualização específica, consulte Informações de visualização do Azure HDInsight no AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight.
Nota
O HDInsight no AKS usa o modelo de rede de sobreposição CNI do Azure por padrão. Para obter mais informações, consulte Rede de sobreposição CNI do Azure.
Este artigo descreve as informações de rede para ajudar a gerenciar as políticas de rede na empresa e fazer as alterações necessárias nos NSGs (grupos de segurança de rede) para o bom funcionamento do HDInsight no AKS.
Se você usar o firewall para controlar o tráfego de saída para seu cluster HDInsight no AKS, deverá garantir que seu cluster possa se comunicar com serviços críticos do Azure. Algumas das regras de segurança para esses serviços são específicas da região e algumas delas se aplicam a todas as regiões do Azure.
Você precisa configurar as seguintes regras de segurança de rede e aplicativo em seu firewall para permitir o tráfego de saída.
Tráfego comum
| Type | Ponto de extremidade de destino | Protocolo | Porta | Tipo de Regra de Firewall do Azure | Utilizar |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o plano de controle. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o plano de controle. |
| FQDN Tag | AzureKubernetesService | HTTPS | 443 | Regra de segurança do aplicativo | Requerido pelo Serviço AKS. |
| Etiqueta de Serviço | AzureMonitor | TCP | 443 | Regra de segurança de rede | Necessário para integração com o Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regra de segurança do aplicativo | Baixa informações de metadados da imagem do docker para configuração do HDInsight no AKS e monitoramento. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento e configuração do HDInsight no AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Regra de segurança do aplicativo | Autenticação. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| ** FQDN | FQDN do Servidor API (disponível assim que o cluster AKS é criado) | TCP | 443 | Regra de segurança de rede | Necessário quando os pods/implantações em execução o usam para acessar o Servidor de API. Você pode obter essas informações do cluster AKS executado atrás do pool de clusters. Para obter mais informações, consulte como obter o FQDN do Servidor de API usando o portal do Azure. |
Nota
** Esta configuração não é necessária se você ativar o AKS privado.
Tráfego específico do cluster
A seção abaixo descreve qualquer tráfego de rede específico, que uma forma de cluster exige, para ajudar as empresas a planejar e atualizar as regras de rede de acordo.
Trino
| Type | Ponto de extremidade de destino | Protocolo | Porta | Tipo de Regra de Firewall do Azure | Utilizar |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Necessário se o Hive estiver ativado. É a própria conta de armazenamento do usuário, como contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver ativado. É o próprio servidor SQL do usuário, como contososqlserver.database.windows.net |
| Etiqueta de Serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver ativado. Ele é usado na conexão com o SQL Server. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP SQL do Azure na região em portas no intervalo de 11000 a 11999. Use as tags de serviço para SQL para tornar esse processo mais fácil de gerenciar. Ao usar a política de conexão de redirecionamento, consulte Intervalos de IP do Azure e Tags de Serviço – Nuvem Pública para obter uma lista dos endereços IP da sua região a serem permitidos. |
Spark
| Type | Ponto de extremidade de destino | Protocolo | Porta | Tipo de Regra de Firewall do Azure | Utilizar |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Spark Azure Data Lake Storage Gen2. É a conta de armazenamento do usuário: como contosottss.dfs.core.windows.net |
| Etiqueta de Serviço | Armazenamento.<Region> |
TCP | 445 | Regra de segurança de rede | Usar o protocolo SMB para se conectar ao Arquivo do Azure |
| FQDN | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver ativado. É o próprio servidor SQL do usuário, como contososqlserver.database.windows.net |
| Etiqueta de Serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver ativado. Ele é usado para se conectar ao servidor SQL. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP SQL do Azure na região em portas no intervalo de 11000 a 11999. Use as tags de serviço para SQL para tornar esse processo mais fácil de gerenciar. Ao usar a política de conexão de redirecionamento, consulte Intervalos de IP do Azure e Tags de Serviço – Nuvem Pública para obter uma lista dos endereços IP da sua região a serem permitidos. |
Apache Flink
| Type | Ponto de extremidade de destino | Protocolo | Porta | Tipo de Regra de Firewall do Azure | Utilizar |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Regra de segurança do aplicativo | Flink Azure Data Lake Storage Gens. É a conta de armazenamento do usuário: como contosottss.dfs.core.windows.net |