Использование группы безопасности сети для ограничения трафика к HDInsight в AKS
Важный
Azure HDInsight на AKS прекращено 31 января 2025 г. Узнайте больше об этом объявлении.
Необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого завершения рабочих нагрузок.
Важный
Эта функция сейчас доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure включают дополнительные юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в Azure HDInsight в предварительной версии AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и следуйте за дополнительными обновлениями в Azure HDInsight Community.
HDInsight в AKS зависит от исходящих зависимостей AKS, которые полностью определяются полными доменными именами и не имеют за собой статических адресов. Отсутствие статических IP-адресов означает, что нельзя использовать группы безопасности сети (NSG) для блокировки исходящего трафика из кластера с помощью IP-адресов.
Если вы по-прежнему предпочитаете использовать ГБС для защиты трафика, необходимо настроить следующие правила в NSG для осуществления грубого контроля.
Узнайте, как создать правило безопасности в NSG.
Правила безопасности исходящего трафика (исходящий трафик)
Общий трафик
| Назначение | Конечная точка назначения | Протокол | Порт |
|---|---|---|---|
| Сервисный тег | AzureCloud.<Region> |
UDP | 1194 |
| Сервисный тег | AzureCloud.<Region> |
Протокол tcp | 9000 |
| Любой | * | Протокол tcp | 443, 80 |
Конкретный трафик кластера
В этом разделе описывается конкретный трафик кластера, который может применяться предприятием.
Трино
| Назначение | Конечная точка назначения | Протокол | Порт |
|---|---|---|---|
| Любой | * | Протокол tcp | 1433 |
| Сервисный тег | Sql.<Region> |
Протокол tcp | 11000-11999 |
Искра
| Назначение | Конечная точка назначения | Протокол | Порт |
|---|---|---|---|
| Любой | * | Протокол tcp | 1433 |
| Сервисный тег | Sql.<Region> |
Протокол tcp | 11000-11999 |
| Сервисный тег | Хранение.<Region> |
Протокол tcp | 445 |
Apache Flink
Никакой
Правила безопасности для входящего трафика
При создании кластеров также создаются определенные общедоступные IP-адреса входящего трафика. Чтобы разрешить отправку запросов в кластер, необходимо включить трафик на портах 80 и 443 в список разрешенных для этих общедоступных IP-адресов.
Следующая команда Azure CLI поможет вам получить общедоступный IP-адрес входящего трафика:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Источник | Исходные IP-адреса и диапазоны CIDR | Протокол | Порт |
|---|---|---|---|
| IP-адреса | <Public IP retrieved from above command> |
Протокол tcp | 80 |
| IP-адреса | <Public IP retrieved from above command> |
Протокол tcp | 443 |