Tráfego de saída requerido para o HDInsight no AKS
Importante
O Azure HDInsight no AKS foi desativado em 31 de janeiro de 2025. Saiba mais com este anúncio.
Você precisa migrar suas cargas de trabalho para Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou que ainda não foram lançadas para disponibilidade geral. Para obter informações sobre essa visualização específica, consulte Azure HDInsight no AKS informações de visualização. Para questões ou sugestões de funcionalidades, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para mais atualizações na Comunidade Azure HDInsight .
Observação
O HDInsight no AKS utiliza, por defeito, o modelo de rede Azure CNI Overlay. Para obter mais informações, consulte rede de sobreposição do Azure CNI.
Este artigo descreve as informações de rede para ajudar a gerenciar as políticas de rede na empresa e fazer as alterações necessárias nos NSGs (grupos de segurança de rede) para o bom funcionamento do HDInsight no AKS.
Se você usar o firewall para controlar o tráfego de saída para seu cluster HDInsight no AKS, deverá garantir que seu cluster possa se comunicar com serviços críticos do Azure. Algumas das regras de segurança para esses serviços são específicas da região e algumas delas se aplicam a todas as regiões do Azure.
Você precisa configurar as seguintes regras de segurança de rede e aplicativo em seu firewall para permitir o tráfego de saída.
Tráfego comum
| Tipo | Ponto de extremidade de destino | Protocolo | Porto | Tipo de Regra de Firewall do Azure | Utilização |
|---|---|---|---|---|---|
| ** Etiqueta de Serviço | AzureCloud.<Region> |
UDP | 1194 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o plano de controle. |
| ** Etiqueta de Serviço | AzureCloud.<Region> |
TCP | 9000 | Regra de segurança de rede | Comunicação segura em túnel entre os nós e o plano de controle. |
| FQDN Tag | Serviço Azure Kubernetes | HTTPS | 443 | Regra de segurança do aplicativo | Requerido pelo Serviço AKS. |
| Etiqueta de serviço | AzureMonitor | TCP | 443 | Regra de segurança de rede | Necessário para integração com o Azure Monitor. |
| Nome de Domínio Totalmente Qualificado (FQDN) | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Regra de segurança do aplicativo | Baixa informações de metadados da imagem do Docker para a configuração do HDInsight no AKS e monitorização. |
| FQDN (Nome de Domínio Completamente Qualificado) | *.blob.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitoramento e configuração do HDInsight no AKS. |
| Nome de Domínio Completamente Qualificado (FQDN) | graph.microsoft.com | HTTPS | 443 | Regra de segurança do aplicativo | Autenticação. |
| Nome de Domínio Completamente Qualificado (FQDN) | *.servicebus.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| Nome de Domínio Totalmente Qualificado (FQDN) | *.table.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| Nome de Domínio Totalmente Qualificado (FQDN) | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Monitorização. |
| ** FQDN (Nome de Domínio Completamente Qualificado) | FQDN do Servidor API (disponível assim que o cluster AKS é criado) | TCP | 443 | Regra de segurança de rede | Necessário quando os pods/implantações em execução o usam para acessar o Servidor de API. Você pode obter essas informações do cluster AKS executado atrás do pool de clusters. Para obter mais informações, consulte como obter o FQDN do Servidor de API usando o portal do Azure. |
Observação
** Esta configuração não é necessária se ativar o AKS privado.
Tráfego específico do cluster
A seção abaixo descreve qualquer tráfego de rede específico, que uma forma de cluster exige, para ajudar as empresas a planejar e atualizar as regras de rede de acordo.
Trino
| Tipo | Ponto de extremidade de destino | Protocolo | Porto | Tipo de Regra de Firewall do Azure | Utilização |
|---|---|---|---|---|---|
| Nome de Domínio Completo (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Necessário se o Hive estiver ativado. É a própria conta de armazenamento do utilizador, tal como contosottss.dfs.core.windows.net |
| FQDN (Nome de Domínio Completo) | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver ativado. É o próprio servidor SQL do usuário, como contososqlserver.database.windows.net |
| Etiqueta de serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver ativado. Ele é usado na conexão com o SQL Server. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP SQL do Azure na região, nas portas entre 11000 e 11999. Use as tags de serviço para SQL para tornar esse processo mais fácil de gerenciar. Ao usar a política de conexão de redirecionamento, consulte o Azure IP Ranges and Service Tags – Public Cloud para obter uma lista dos endereços IP da sua região a serem permitidos. |
Faísca
| Tipo | Ponto de extremidade de destino | Protocolo | Porto | Tipo de Regra de Firewall do Azure | Utilização |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Regra de segurança do aplicativo | Spark Azure Data Lake Storage Gen2. É a conta de armazenamento do usuário: como contosottss.dfs.core.windows.net |
| Etiqueta de serviço | Armazenamento.<Region> |
TCP | 445 | Regra de segurança de rede | Usar o protocolo SMB para se conectar ao Arquivo do Azure |
| Nome de Domínio Totalmente Qualificado (FQDN) | *.database.windows.net | mysql | 1433 | Regra de segurança do aplicativo | Necessário se o Hive estiver ativado. É o próprio servidor SQL do usuário, como contososqlserver.database.windows.net |
| Etiqueta de serviço | Sql.<Region> |
TCP | 11000-11999 | Regra de segurança de rede | Necessário se o Hive estiver ativado. Ele é usado para se conectar ao servidor SQL. É recomendável permitir a comunicação de saída do cliente para todos os endereços IP do Azure SQL na região em portas no intervalo de 11000 a 11999. Use as tags de serviço para SQL para tornar esse processo mais fácil de gerenciar. Ao usar a política de conexão de redirecionamento, consulte o Azure IP Ranges and Service Tags – Public Cloud para obter uma lista dos endereços IP da sua região a serem permitidos. |
Apache Flink
| Tipo | Endpoint de destino | Protocolo | Porto | Tipo de Regra de Firewall do Azure | Utilização |
|---|---|---|---|---|---|
| FQDN (Nome de Domínio Totalmente Qualificado) | *.dfs.core.windows.net |
HTTPS | 443 | Regra de segurança do aplicativo | Flink Azure Data Lake Storage Gens. É a conta de armazenamento do usuário: como contosottss.dfs.core.windows.net |