AKS 上 HDInsight 的必要輸出流量
重要
AKS 上的 Azure HDInsight 於 2025 年 1 月 31 日淘汰。 透過此公告 深入瞭解。
您必須將工作負載移轉至 Microsoft Fabric 或對等 Azure 產品,以避免突然終止工作負載。
重要
這項功能目前為預覽狀態。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta 版、預覽版或尚未正式發行之 Azure 功能的更合法條款。 如需此特定預覽的相關資訊,請參閱 Azure HDInsight on AKS 預覽資訊 。 如有疑問或功能建議,請在 AskHDInsight 提交請求,並關注我們以獲得 Azure HDInsight 社群的更多更新。
注意
AKS 上的 HDInsight 預設會使用 Azure CNI 覆蓋網路模型。 如需詳細資訊,請參閱 Azure CNI 重疊網路。
本文概述網路資訊,以協助管理企業中的網路原則,並針對網路安全組 (NSG) 進行必要的變更,以順利運作 AKS 上的 HDInsight。
如果您使用防火牆來控制 AKS 叢集上 HDInsight 的輸出流量,您必須確定叢集可以與重要的 Azure 服務通訊。 這些服務的某些安全性規則是區域特定的,其中有些規則適用於所有 Azure 區域。
您必須在防火牆中設定下列網路和應用程式安全性規則,以允許輸出流量。
常見流量
| 類型 | 目的地端點 | 協定 | 港口 | Azure 防火牆規則類型 | 用 |
|---|---|---|---|---|---|
| ** 服務標誌 | AzureCloud。<Region> |
UDP | 1194 | 網路安全性規則 | 節點與控制平面之間的通道安全通訊。 |
| ** ServiceTag | AzureCloud。<Region> |
TCP | 9000 | 網路安全性規則 | 節點與控制平面之間的通道安全通訊。 |
| FQDN 標籤 | Azure Kubernetes Service (Azure 容器服務) | HTTPS | 443 | 應用程式安全性規則 | 由 AKS 服務所需。 |
| 服務標籤 | AzureMonitor | TCP | 443 | 網路安全性規則 | 必需與 Azure 監視器整合。 |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | 應用程式安全性規則 | 下載 Docker 映像的元數據資訊,以在 AKS 上設定和監控 HDInsight。 |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 在 AKS 上監視和設定 HDInsight。 |
| FQDN | graph.microsoft.com | HTTPS | 443 | 應用程式安全性規則 | 認證。 |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | 應用程式安全性規則 | 監測。 |
| 完全限定域名 (FQDN) | *.table.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 監測。 |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 監測。 |
| ** FQDN | API Server FQDN (一旦建立 AKS 叢集即可使用) | TCP | 443 | 網路安全性規則 | 當正在執行的 Pod/部署需要用來存取 API 伺服器時,這是必需的。 您可以從在叢集池後端運行的 AKS 叢集取得這項資訊。 如需詳細資訊,請參閱 如何使用 Azure 入口網站取得 API Server FQDN。 |
注意
** 如果您啟用私人 AKS,則不需要此設定。
叢集特定流量
下一節概述叢集形狀需要的任何特定網路流量,以協助企業據此規劃和更新網路規則。
Trino
| 類型 | 目的地端點 | 協定 | 港口 | Azure 防火牆規則類型 | 用 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 如果已啟用Hive,則為必需的。 它是使用者自己的儲存體帳戶,例如 contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | 應用程式安全性規則 | 如果已啟用Hive,則為必要條件。 它是使用者自己的 SQL Server,例如 contososqlserver.database.windows.net |
| 服務標籤 | Sql.<Region> |
TCP | 11000-11999 | 網路安全性規則 | 如果已啟用Hive,就必須。 它用於連線到 SQL Server。 建議允許從客戶端到區域內所有 Azure SQL IP 位址的出站通訊,使用連接埠範圍為 11000 到 11999。 使用 SQL 的服務標籤,讓此程式更容易管理。 使用重新導向連線原則時,請參閱 Azure IP 範圍和服務標籤 – 公用雲端,以取得您區域允許的 IP 位址清單。 |
火花
| 類型 | 目的地端點 | 協定 | 港口 | Azure 防火牆規則類型 | 用 |
|---|---|---|---|---|---|
| 完全限定域名(FQDN) | *.dfs.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | Spark Azure Data Lake Storage Gen2。 它是使用者的記憶體帳戶:例如 contosottss.dfs.core.windows.net |
| 服務標籤 | 存儲。<Region> |
TCP | 445 | 網路安全性規則 | 使用SMB通訊協議連線到 Azure 檔案 |
| FQDN(完整網域名稱) | *.database.windows.net | mysql | 1433 | 應用程式安全性規則 | 如果已啟用Hive,則為必要條件。 它是使用者自己的 SQL Server,例如 contososqlserver.database.windows.net |
| 服務標籤 | Sql.<Region> |
TCP | 11000-11999 | 網路安全性規則 | 如果已啟用Hive,則為必需項目。 它用來連線到 SQL Server。 建議允許從客戶端到區域中所有 Azure SQL IP 位址的輸出通訊,範圍在埠號 11000 到 11999 之間。 使用 SQL 的服務標籤,讓此程式更容易管理。 使用重新導向連線原則時,請參閱 Azure IP 範圍和服務標籤 – 公用雲端,以取得您區域允許的 IP 位址清單。 |
Apache Flink
| 類型 | 目的地端點 | 協定 | 港口 | Azure 防火牆規則類型 | 用 |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | 應用程式安全性規則 | Flink Azure Data Lake Storage Gens。 這是使用者的儲存帳戶:例如 contosottss.dfs.core.windows.net |