你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AKS 上的 HDInsight 所需的出站流量
注意
我们将于 2025 年 1 月 31 日停用 Azure HDInsight on AKS。 在 2025 年 1 月 31 日之前,你需要将工作负荷迁移到 Microsoft Fabric 或同等的 Azure 产品,以避免工作负荷突然终止。 订阅上的剩余群集会被停止并从主机中移除。
在停用日期之前,仅提供基本支持。
重要
此功能目前以预览版提供。 Microsoft Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的更多法律条款。 有关此特定预览版的信息,请参阅 Azure HDInsight on AKS 预览版信息。 如有疑问或功能建议,请在 AskHDInsight 上提交请求并附上详细信息,并关注我们以获取 Azure HDInsight Community 的更多更新。
注意
HDInsight on AKS 默认使用 Azure CNI Overlay 网络模型。 有关详细信息,请参阅 Azure CNI 覆盖网络。
本文概述了网络信息,以帮助管理企业中的网络策略,并对网络安全组 (NSG) 进行必要的更改,以便在 AKS 上顺利运行 HDInsight。
如果使用防火墙来控制 AKS 群集上 HDInsight 的出站流量,则必须确保群集可以与关键的 Azure 服务通信。 这些服务的有些安全规则特定于区域,而有些则适用于所有 Azure 区域。
需要在防火墙中配置以下网络和应用程序安全规则,以允许出站流量。
常见流量
| 类型 | 目标终结点 | 协议 | 端口 | Azure 防火墙规则类型 | 使用 |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | 网络安全规则 | 节点与控制平面之间的隧道安全通信。 |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | 网络安全规则 | 节点与控制平面之间的隧道安全通信。 |
| FQDN 标记 | AzureKubernetesService | HTTPS | 443 | 应用程序安全规则 | AKS 服务需要。 |
| 服务标记 | AzureMonitor | TCP | 443 | 网络安全规则 | 与 Azure Monitor 集成所必需的。 |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | 应用程序安全规则 | 下载 Docker 映像的元数据信息,以便在 AKS 和监视上设置 HDInsight。 |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | 应用程序安全规则 | 在 AKS 上监视和设置 HDInsight。 |
| FQDN | graph.microsoft.com | HTTPS | 443 | 应用程序安全规则 | 身份验证。 |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | 应用程序安全规则 | 监视。 |
| FQDN | *.table.core.windows.net | HTTPS | 443 | 应用程序安全规则 | 监视。 |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 应用程序安全规则 | 监视。 |
| ** FQDN | API 服务器 FQDN(创建 AKS 群集后可用) | TCP | 443 | 网络安全规则 | 当正在运行的 Pod/部署使用它访问 API 服务器时是必需的。 可以从群集池后面的 AKS 群集获取此信息。 有关详细信息,请参阅如何使用 Azure 门户获取 API Server FQDN。 |
注意
** 如果启用专用 AKS,则不需要使用此配置。
群集特定的流量
以下部分概述了群集形状需要的任何特定网络流量,以帮助企业相应地规划和更新网络规则。
Trino
| 类型 | 目标终结点 | 协议 | 端口 | Azure 防火墙规则类型 | 使用 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | 应用程序安全规则 | 如果启用了 Hive,则为必需。 它是用户自己的存储帐户,例如 contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | 应用程序安全规则 | 如果启用了 Hive,则为必需。 它是用户自己的 SQL Server,例如 contososqlserver.database.windows.net |
| 服务标记 | Sql.<Region> |
TCP | 11000-11999 | 网络安全规则 | 如果启用了 Hive,则为必需。 它用于连接到 SQL Server。 建议在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使此过程更易于管理。 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 公共云获取你所在区域允许的 IP 地址列表。 |
Spark
| 类型 | 目标终结点 | 协议 | 端口 | Azure 防火墙规则类型 | 使用 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | 应用程序安全规则 | Spark Azure Data Lake Storage Gen2。 它是用户的存储帐户,例如 contosottss.dfs.core.windows.net |
| 服务标记 | 存储。<Region> |
TCP | 445 | 网络安全规则 | 使用 SMB 协议连接到 Azure 文件 |
| FQDN | *.database.windows.net | mysql | 1433 | 应用程序安全规则 | 如果启用了 Hive,则为必需。 它是用户自己的 SQL Server,例如 contososqlserver.database.windows.net |
| 服务标记 | Sql.<Region> |
TCP | 11000-11999 | 网络安全规则 | 如果启用了 Hive,则为必需。 它用于连接到 SQL Server。 建议在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使此过程更易于管理。 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 公共云获取你所在区域允许的 IP 地址列表。 |
Apache Flink
| 类型 | 目标终结点 | 协议 | 端口 | Azure 防火墙规则类型 | 使用 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | 应用程序安全规则 | Flink Azure Data Lake Storage Gens。 它是用户的存储帐户,例如 contosottss.dfs.core.windows.net |