使用 NSG 限制 AKS 上 HDInsight 的流量
重要
AKS 上的 Azure HDInsight 於 2025 年 1 月 31 日淘汰。 透過此公告 深入瞭解。
您必須將工作負載移轉至 Microsoft Fabric 或對等 Azure 產品,以避免突然終止工作負載。
重要
這項功能目前為預覽狀態。 Microsoft Azure 預覽版的補充使用規定 包含適用於 Beta 版、預覽版或尚未正式發行之 Azure 功能的更合法條款。 如需此特定預覽的相關資訊,請參閱 Azure HDInsight 於 AKS 預覽資訊。 如有問題或功能建議,請在 AskHDInsight 提交要求,並關注我們以獲取 Azure HDInsight Community 的更多更新。
AKS 上的 HDInsight 依賴 AKS 輸出相依性,而且完全使用 FQDN 來定義,FQDN 後面沒有靜態位址。 缺少靜態 IP 位址導致無法使用網路安全群組(NSG)來鎖定來自叢集的流出流量。
如果您仍然想要使用 NSG 來保護流量,則必須在 NSG 中設定下列規則,以執行粗略的控制。
瞭解 如何在 NSG中建立安全性規則。
輸出安全性規則 (輸出流量)
常見流量
| 目的地 | 目的地端點 | 協定 | 港口 |
|---|---|---|---|
| 服務標籤 | AzureCloud。<Region> |
UDP | 1194 |
| 服務標籤 | AzureCloud。<Region> |
TCP | 9000 |
| 任何 | * | TCP | 443, 80 |
叢集特定流量
本節概述企業可以套用的叢集特定流量。
Trino
| 目的地 | 目的地端點 | 協定 | 港口 |
|---|---|---|---|
| 任何 | * | TCP | 1433 |
| 服務標籤 | Sql.<Region> |
TCP | 11000-11999 |
火花
| 目的地 | 目的地端點 | 協定 | 港口 |
|---|---|---|---|
| 任何 | * | TCP | 1433 |
| 服務標籤 | Sql.<Region> |
TCP | 11000-11999 |
| 服務標籤 | 存儲。<Region> |
TCP | 445 |
Apache Flink
沒有
輸入安全性規則 (輸入流量)
建立叢集時,也會建立特定的輸入公用IP。 若要允許將要求傳送至叢集,您必須允許使用埠 80 和 443 來列出這些公用 IP 的流量。
下列 Azure CLI 命令可協助您取得入口公用 IP:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| 源 | 來源IP位址/CIDR 範圍 | 協定 | 港口 |
|---|---|---|---|
| IP 位址 | <Public IP retrieved from above command> |
TCP | 80 |
| IP 位址 | <Public IP retrieved from above command> |
TCP | 443 |