使用防火牆來使用 Azure 入口網站限制輸出流量

重要

AKS 上的 Azure HDInsight 於 2025 年 1 月 31 日淘汰。 透過此公告 深入瞭解。

您必須將工作負載移轉至 Microsoft Fabric 或對等 Azure 產品，以避免突然終止工作負載。

重要

這項功能目前為預覽狀態。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta 版、預覽版或尚未正式發行之 Azure 功能的更合法條款。 如需此特定預覽的資訊，請參閱 AKS 上的 Azure HDInsight 預覽資訊。 如有問題或功能建議，請在 AskHDInsight 提交請求，並追蹤我們以獲得 Azure HDInsight 社群 的更多更新。

當企業想要使用自己的虛擬網路進行叢集部署時，保護虛擬網路的流量變得很重要。 本文提供使用 Azure 入口網站透過 Azure 防火牆從 AKS 叢集上的 HDInsight 保護輸出流量的步驟。

下圖說明本文中用來模擬企業案例的範例：

建立虛擬網路和子網

1. 建立虛擬網路和兩個子網。

   在此步驟中，設定虛擬網路和兩個子網，以特別設定輸出。

   

   

   

   重要

   • 如果您在子網中新增NSG，則必須手動新增特定輸出和輸入規則。 遵循 的設定，使用 NSG 限制的流量。
   • 請勿將子網 hdiaks-egress-subnet 與路由表產生關聯，因為 AKS 上的 HDInsight 會建立具有默認輸出類型的叢集集區，而且無法在已與路由表相關聯的子網中建立叢集集區。

使用 Azure 入口網站在 AKS 叢集集區上建立 HDInsight

1. 建立叢集集區。

   

   

2. 建立 AKS 叢集集區上的 HDInsight 時，您可以在子網 hdiaks-egress-subnet中找到路由表。

   

取得在叢集池後建立的 AKS 叢集詳細資訊

您可以在入口網站中搜尋叢集集區名稱，然後移至 AKS 叢集。 例如

取得 AKS API 伺服器詳細數據。

建立防火牆

1. 使用 Azure 入口網站建立防火牆。

   

2. 啟用防火牆的 DNS Proxy 伺服器。

   

3. 建立防火牆之後，請尋找防火牆內部IP和公用IP。

   

將網路和應用程式規則新增至防火牆

1. 使用下列規則建立網路規則集合。

   

2. 使用下列規則建立應用程式規則集合。

   

在路由表中建立路由以將流量重新導向至防火牆

新增路由至路由表，以將流量重新導向至防火牆。

建立叢集

在先前的步驟中，我們已將流量路由傳送至防火牆。

下列步驟提供每個叢集類型所需的特定網路和應用程式規則詳細數據。 您可以參考叢集建立頁面，以根據您的需求 建立 Apache Flink、Trino和 Apache Spark 叢集。

重要

建立叢集之前，請務必新增下列叢集特定規則以允許流量。

Trino

1. 將下列規則新增至應用程式規則集合 aksfwar。

   

2. 將下列規則新增至網路規則集合 aksfwnr。

   

   注意

   根據您的需求，將 Sql.<Region> 變更至您的區域。 例如：Sql.WestEurope

Apache Flink

1. 將下列規則新增至應用程式規則集合 aksfwar。

   

Apache Spark

1. 將下列規則新增至應用程式規則集合 aksfwar。

   

2. 將下列規則新增至網路規則集合 aksfwnr。

   

   注意

   1. 根據您的需求，將 Sql.<Region> 變更至您的區域。 例如：Sql.WestEurope
   2. 根據您的需求，將 Storage.<Region> 變更至您的區域。 例如：Storage.WestEurope

解決對稱路由問題

下列步驟使我們能為每個叢集請求負載平衡器的輸入服務，並確保網路回應的流量不會流向防火牆。

將路由新增至路由表，將回應流量重新導向至用戶端IP至因特網，然後您可以直接連線到叢集。

如果您無法連線到叢集並且已經設定了 NSG，請遵循 使用 NSG 來限制流量，然後再遵循 來允許流量。

提示

如果您想要允許更多流量，您可以透過防火牆進行設定。

如何偵錯

如果您發現叢集無法預期運作，您可以檢查防火牆記錄，以找出哪些流量遭到封鎖。