Usar o NSG para restringir o tráfego ao HDInsight no AKS
Importante
O Azure HDInsight no AKS foi desativado em 31 de janeiro de 2025. Saiba mais com este anúncio.
Você precisa migrar suas cargas de trabalho para Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponíveis ao público. Para obter informações sobre esta pré-visualização específica, consulte informações de pré-visualização do Azure HDInsight no AKS. Para perguntas ou sugestões de funcionalidades, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade Azure HDInsight .
O HDInsight no AKS depende das dependências de saída do AKS e elas são totalmente definidas com FQDNs, que não têm endereços estáticos por trás. A falta de endereços IP estáticos significa que não é possível usar NSGs (Network Security Groups) para bloquear o tráfego de saída do cluster usando IPs.
Se você ainda preferir usar o NSG para proteger seu tráfego, precisará configurar as seguintes regras no NSG para fazer um controle de grão grosso.
Saiba como criar uma regra de segurança no NSG.
Regras de segurança de saída (tráfego de saída)
Tráfego comum
| Destino | Endpoint de destino | Protocolo | Porto |
|---|---|---|---|
| Etiqueta de serviço | AzureCloud.<Region> |
UDP | 1194 |
| Etiqueta de serviço | AzureCloud.<Region> |
TCP | 9000 |
| Qualquer | * | TCP | 443, 80 |
Tráfego específico do cluster
Esta seção descreve o tráfego específico do cluster que uma empresa pode aplicar.
Trino
| Destino | Ponto de extremidade de destino | Protocolo | Porto |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Etiqueta de serviço | Sql.<Region> |
TCP | 11000-11999 |
Faísca
| Destino | Ponto de extremidade de destino | Protocolo | Porto |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Etiqueta de serviço | Sql.<Region> |
TCP | 11000-11999 |
| Etiqueta de serviço | Armazenamento.<Region> |
TCP | 445 |
Apache Flink
Nenhum
Regras de segurança de entrada (tráfego de entrada)
Quando os clusters são criados, certos IPs públicos de entrada também são criados. Para permitir que as solicitações sejam enviadas ao cluster, deve autorizar o tráfego para estes IPs públicos nas portas 80 e 443.
O seguinte comando da CLI do Azure pode ajudá-lo a obter o IP público de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fonte | Endereços IP de origem/intervalos CIDR | Protocolo | Porto |
|---|---|---|---|
| Endereços IP | <Public IP retrieved from above command> |
TCP | 80 |
| Endereços IP | <Public IP retrieved from above command> |
TCP | 443 |