Обязательный исходящий трафик для HDInsight в AKS
Важный
Azure HDInsight в AKS прекращено 31 января 2025 г. Узнайте больше об этом объявлении .
Необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого завершения рабочих нагрузок.
Важный
Эта функция сейчас доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure включают дополнительные юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в разделе , посвященном информации о предварительной версии Azure HDInsight на AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и следуйте за дополнительными обновлениями в Azure HDInsight Community.
Заметка
HDInsight в AKS использует сетевую модель наложения Azure CNI по умолчанию. Дополнительные сведения см. в сетевом наложении Azure CNI.
В этой статье описаны сведения о сети, помогающие управлять политиками сети на предприятии и вносить необходимые изменения в группы безопасности сети (NSG) для плавного функционирования HDInsight в AKS.
Если вы используете брандмауэр для управления исходящим трафиком в кластере HDInsight в AKS, необходимо убедиться, что кластер может взаимодействовать с критически важными службами Azure. Некоторые правила безопасности для этих служб относятся к регионам, и некоторые из них применяются ко всем регионам Azure.
Необходимо настроить следующие правила безопасности сети и приложений в брандмауэре, чтобы разрешить исходящий трафик.
Общий трафик
| Тип | Конечная точка назначения | Протокол | Порт | Тип правила брандмауэра Azure | Использование |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Правило безопасности сети | Туннельный безопасный обмен данными между узлами и плоскостью управления. |
| ** ServiceTag (Идентификатор обслуживания) | AzureCloud.<Region> |
Протокол tcp | 9000 | Правило безопасности сети | Туннелированный безопасный обмен данными между узлами и плоскостями управления. |
| Тег FQDN | AzureKubernetesService | HTTPS | 443 | Правило безопасности приложений | Требуемо службой AKS. |
| Идентификатор службы | AzureMonitor | Протокол tcp | 443 | Правило безопасности сети | Требуется для интеграции с Azure Monitor. |
| Полное доменное имя | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Правило безопасности приложений | Загружает метаданные образа Docker для настройки и мониторинга HDInsight на AKS. |
| Полное доменное имя | *.blob.core.windows.net | HTTPS | 443 | Правило безопасности приложений | Мониторинг и настройка HDInsight в AKS. |
| Полное доменное имя | graph.microsoft.com | HTTPS | 443 | Правило безопасности приложений | Аутентификация. |
| Полное доменное имя (FQDN) | *.servicebus.windows.net | HTTPS | 443 | Правило безопасности приложений | Контроль. |
| Полное доменное имя | *.table.core.windows.net | HTTPS | 443 | Правило безопасности приложений | Контроль. |
| Полное доменное имя | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Правило безопасности приложений | Контроль. |
| **FQDN (Полное доменное имя) | Полное доменное имя сервера API (доступно после создания кластера AKS) | Протокол tcp | 443 | Правило безопасности сети | Требуется, так как запущенные pods и развертывания используют его для обращения к серверу API. Эту информацию можно получить из кластера AKS, который используется пулом кластеров. Дополнительные сведения см. в статье о том, как получить полное доменное имя сервера API Server с помощью портала Azure. |
Заметка
** Эта конфигурация не требуется, если включить частные AKS.
Конкретный трафик кластера
В приведенном ниже разделе описан любой конкретный сетевой трафик, который требуется для формирования кластера, чтобы помочь предприятиям планировать и обновлять правила сети соответствующим образом.
Трино
| Тип | Конечная точка назначения | Протокол | Порт | Тип правила брандмауэра Azure | Использование |
|---|---|---|---|---|---|
| Полное доменное имя | *.dfs.core.windows.net | HTTPS | 443 | Правило безопасности приложений | Требуется, если Hive включен. Это собственная учетная запись хранения пользователя, например contosottss.dfs.core.windows.net |
| Полное доменное имя | *.database.windows.net | mysql | 1433 | Правило безопасности приложений | Требуется, если Hive включен. Это собственный SQL-сервер пользователя, например contososqlserver.database.windows.net |
| Сервисный тег | Sql.<Region> |
Протокол tcp | 11000-11999 | Правило безопасности сети | Требуется, если Hive включен. Он используется при подключении к SQL Server. Рекомендуется разрешить исходящее подключение от клиента ко всем IP-адресам SQL Azure в регионе на портах в диапазоне от 11000 до 11999. Используйте теги службы для SQL, чтобы упростить управление этим процессом. При использовании политики подключения перенаправления обратитесь к разделам Диапазоны IP-адресов Azure и Теги служб – Общественное облако для получения списка разрешенных IP-адресов вашего региона. |
Искра
| Тип | Конечная точка назначения | Протокол | Порт | Тип правила брандмауэра Azure | Использование |
|---|---|---|---|---|---|
| Полное доменное имя | *.dfs.core.windows.net | HTTPS | 443 | Правило безопасности приложений | Spark Azure Data Lake Storage 2-го поколения. Это учетная запись хранения пользователя: например, contosottss.dfs.core.windows.net |
| Сервисный тег | Хранение.<Region> |
Протокол tcp | 445 | Правило безопасности сети | Использование протокола SMB для подключения к файлу Azure |
| Полное доменное имя | *.database.windows.net | mysql | 1433 | Правило безопасности приложений | Требуется, если Hive включен. Это собственный SQL-сервер пользователя, например contososqlserver.database.windows.net |
| Сервисный тег | Sql.<Region> |
Протокол tcp | 11000-11999 | Правило безопасности сети | Требуется, если Hive включен. Он используется для подключения к SQL Server. Рекомендуется разрешить исходящее подключение от клиента ко всем IP-адресам SQL Azure в регионе на портах в диапазоне от 11000 до 11999. Используйте теги службы для SQL, чтобы упростить управление этим процессом. При использовании политики подключения перенаправления обратитесь к диапазонам IP-адресов Azure и тегам служб — Общедоступное облако для списка IP-адресов вашего региона, которые нужно разрешить. |
Apache Flink
| Тип | Конечная точка назначения | Протокол | Порт | Тип правила брандмауэра Azure | Использование |
|---|---|---|---|---|---|
| Полное доменное имя | *.dfs.core.windows.net |
HTTPS | 443 | Правило безопасности приложений | Flink Azure Data Lake Storage Gens. Это учетная запись хранения пользователя: например, contosottss.dfs.core.windows.net |