Nödvändig utgående trafik för HDInsight på AKS
Viktig
Azure HDInsight på AKS drogs tillbaka den 31 januari 2025. Läs mer genom detta meddelande.
Du måste migrera dina arbetsbelastningar till Microsoft Fabric- eller en motsvarande Azure-produkt för att undvika plötsliga uppsägningar av dina arbetsbelastningar.
Viktig
Den här funktionen är för närvarande i förhandsversion. De kompletterande användningsvillkoren för Förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller annars ännu inte är allmänt tillgängliga. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. För frågor eller funktionsförslag skickar du en begäran på AskHDInsight med detaljerna och följ oss för fler uppdateringar om Azure HDInsight Community.
Not
HDInsight på AKS använder Azure CNI Overlay-nätverksmodell som standard. Mer information finns i Azure CNI Overlay networking.
Den här artikeln beskriver nätverksinformationen för att hantera nätverksprinciperna i företaget och göra nödvändiga ändringar i nätverkssäkerhetsgrupperna (NSG:er) för att HDInsight ska fungera smidigt i AKS.
Om du använder brandväggen för att styra utgående trafik till HDInsight i AKS-klustret måste du se till att klustret kan kommunicera med kritiska Azure-tjänster. Vissa av säkerhetsreglerna för dessa tjänster är regionspecifika, och vissa av dem gäller för alla Azure-regioner.
Du måste konfigurera följande nätverks- och programsäkerhetsregler i brandväggen för att tillåta utgående trafik.
Vanlig trafik
| Typ | Målslutpunkt | Protokoll | Hamn | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Nätverkssäkerhetsregel | Tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Nätverkssäkerhetsregel | Tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
| FQDN-tagg | AzureKubernetesService | HTTPS | 443 | Programsäkerhetsregel | Krävs av AKS-tjänsten. |
| Servicekod | AzureMonitor | TCP | 443 | Nätverkssäkerhetsregel | Krävs för integrering med Azure Monitor. |
| FQDN (Fullständigt kvalificerat domännamn) | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Programsäkerhetsregel | Laddar ned metadatainformation för Docker-bilden för installation och övervakning av HDInsight på AKS. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning och installation av HDInsight på AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Programsäkerhetsregel | Autentisering. |
| FQDN (Fullständigt kvalificerat domännamn) | *.servicebus.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning. |
| Fullständigt domännamn (FQDN) | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning. |
| **FQDN (Fullständigt kvalificerat domännamn) | API Server FQDN (tillgängligt när AKS-klustret har skapats) | TCP | 443 | Nätverkssäkerhetsregel | Krävs eftersom poddar/distributioner som körs använder den för att komma åt API-servern. Du kan hämta den här informationen från AKS-klustret som körs bakom klusterpoolen. För mer information, se hur du hämtar API Server FQDN- med hjälp av Azure-portalen. |
Not
** Den här konfigurationen krävs inte om du aktiverar privat AKS.
Klusterspecifik trafik
I avsnittet nedan beskrivs all specifik nätverkstrafik, som en klusterform kräver, för att hjälpa företag att planera och uppdatera nätverksreglerna i enlighet med detta.
Trino
| Typ | Målslutpunkt | Protokoll | Hamn | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| FQDN (Fullständigt kvalificerat domännamn) | *.dfs.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Krävs om Hive är aktiverat. Det är användarens eget lagringskonto, till exempel contosottss.dfs.core.windows.net |
| FQDN (Fully Qualified Domain Name) | *.database.windows.net | mysql | 1433 | Programsäkerhetsregel | Krävs om Hive är aktiverat. Det är användarens egen SQL-server, till exempel contososqlserver.database.windows.net |
| Servicetag | Sql.<Region> |
TCP | 11000-11999 | Nätverkssäkerhetsregel | Krävs om Hive är aktiverat. Det används för att ansluta till SQL Server. Vi rekommenderar att du tillåter utgående kommunikation från klienten till alla Azure SQL IP-adresser i regionen på portar mellan 11000 och 11999. Använd tjänsttaggar för SQL för att göra den här processen enklare att hantera. När du använder principen för omdirigering av anslutningar, hänvisar du till Azure IP-intervall och tjänsttaggar – offentliga molnet för en lista över din regions IP-adresser som ska tillåtas. |
Gnista
| Typ | Målslutpunkt | Protokoll | Hamn | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| Fullständigt kvalificerat domännamn (FQDN) | *.dfs.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Spark Azure Data Lake Storage Gen2. Det är användarens lagringskonto: till exempel contosottss.dfs.core.windows.net |
| Servicetag | Lagring.<Region> |
TCP | 445 | Nätverkssäkerhetsregel | Använda SMB-protokollet för att ansluta till Azure File |
| FQDN (Fullständigt domännamn) | *.database.windows.net | mysql | 1433 | Programsäkerhetsregel | Krävs om Hive är aktiverat. Det är användarens egen SQL-server, till exempel contososqlserver.database.windows.net |
| Servicekod | Sql.<Region> |
TCP | 11000-11999 | Nätverkssäkerhetsregel | Krävs om Hive är aktiverat. Den används för att ansluta till SQL Server. Vi rekommenderar att du tillåter utgående kommunikation från klienten till alla Azure SQL IP-adresser i regionen på portar mellan 11000 och 11999. Använd tjänsttaggar för SQL för att göra den här processen enklare att hantera. När du använder omdirigeringsanslutningspolicy hänvisar du till Azure IP-intervall och tjänsttaggar – Offentliga Moln för en lista över din regions IP-adresser som ska tillåtas. |
Apache Flink
| Typ | Målslutpunkt | Protokoll | Hamn | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Programsäkerhetsregel | Flink Azure Data Lake Storage Gens. Det är användarens lagringskonto: till exempel contosottss.dfs.core.windows.net |