Använda NSG för att begränsa trafik till HDInsight på AKS
Viktig
Azure HDInsight på AKS drogs tillbaka den 31 januari 2025. Läs mer med det här meddelandet.
Du måste migrera dina arbetsbelastningar till Microsoft Fabric- eller en motsvarande Azure-produkt för att undvika plötsliga uppsägningar av dina arbetsbelastningar.
Viktig
Den här funktionen är för närvarande i förhandsversion. De kompletterande användningsvillkoren för förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i beta, förhandsversion eller på annat sätt ännu inte har gjorts allmänt tillgängliga. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. För frågor eller funktionsförslag, vänligen skicka en begäran på AskHDInsight med detaljerna och följ oss för fler uppdateringar på Azure HDInsight Community.
HDInsight på AKS förlitar sig på utgående AKS-beroenden och de definieras helt med FQDN:er, som inte har statiska adresser bakom sig. Bristen på statiska IP-adresser innebär att man inte kan använda nätverkssäkerhetsgrupper (NSG:er) för att låsa utgående trafik från klustret med ip-adresser.
Om du fortfarande föredrar att använda NSG för att skydda din trafik måste du konfigurera följande regler i NSG för att göra en grov kornig kontroll.
Lär dig hur man skapar en säkerhetsregel i NSG.
Utgående säkerhetsregler (utgående trafik)
Vanlig trafik
| Destination | Målslutpunkt | Protokoll | Hamn |
|---|---|---|---|
| Servicetag | AzureCloud.<Region> |
UDP | 1194 |
| Servicekod | AzureCloud.<Region> |
TCP | 9000 |
| Någon | * | TCP | 443, 80 |
Klusterspecifik trafik
I det här avsnittet beskrivs klusterspecifik trafik som ett företag kan använda.
Trino
| Destination | Målslutpunkt | Protokoll | Hamn |
|---|---|---|---|
| Någon | * | TCP | 1433 |
| Servicetag | Sql.<Region> |
TCP | 11000-11999 |
Gnista
| Destination | Målslutpunkt | Protokoll | Hamn |
|---|---|---|---|
| Någon | * | TCP | 1433 |
| Servicemärke | Sql.<Region> |
TCP | 11000-11999 |
| Servicetag | Lagring.<Region> |
TCP | 445 |
Apache Flink
Ingen
Inkommande säkerhetsregler (inkommande trafik)
När kluster skapas skapas även vissa inkommande offentliga IP-adresser. Om du vill tillåta att begäranden skickas till klustret måste du vitlista trafiken till dessa offentliga IP-adresser, port 80 och 443.
Följande Azure CLI-kommando kan hjälpa dig att hämta den offentliga ingress-IP-adressen:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Källa | Källans IP-adresser/CIDR-intervall | Protokoll | Hamn |
|---|---|---|---|
| IP-adresser | <Public IP retrieved from above command> |
TCP | 80 |
| IP-adresser | <Public IP retrieved from above command> |
TCP | 443 |