Verwenden von NSG zum Einschränken des Datenverkehrs auf HDInsight on AKS
Hinweis
Azure HDInsight on AKS wird am 31. Januar 2025 eingestellt. Vor dem 31. Januar 2025 müssen Sie Ihre Workloads zu Microsoft Fabric oder einem gleichwertigen Azure-Produkt migrieren, um ein abruptes Beenden Ihrer Workloads zu vermeiden. Die verbleibenden Cluster in Ihrem Abonnement werden beendet und vom Host entfernt.
Wichtig
Diese Funktion steht derzeit als Vorschau zur Verfügung. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure-Vorschauen enthalten weitere rechtliche Bestimmungen, die für Azure-Features in Betaversionen, in Vorschauversionen oder anderen Versionen gelten, die noch nicht allgemein verfügbar gemacht wurden. Informationen zu dieser spezifischen Vorschau finden Sie unter Informationen zur Vorschau von Azure HDInsight on AKS. Bei Fragen oder Funktionsvorschlägen senden Sie eine Anfrage an AskHDInsight mit den entsprechenden Details, und folgen Sie uns für weitere Updates in der Azure HDInsight-Community.
HDInsight on AKS basiert auf ausgehenden AKS-Abhängigkeiten. Sie sind vollständig mit FQDNs definiert, die nicht über statische Adressen verfügen. Das Fehlen statischer Adressen bedeutet, dass Sie keine Netzwerksicherheitsgruppen (NSGs) verwenden können, um den ausgehenden Datenverkehr des Clusters mit IPs zu sperren.
Wenn Sie eine NSG weiterhin verwenden möchten, um Ihren Datenverkehr zu schützen, müssen Sie die folgenden Regeln in der NSG so konfigurieren, dass eine differenzierte Steuerung ausgeführt wird.
Weitere Informationen finden Sie unter Erstellen einer Sicherheitsregel in einer NSG.
Ausgangssicherheitsregeln (ausgehender Datenverkehr)
Allgemeiner Datenverkehr
| Destination | Zielendpunkt | Protokoll | Port |
|---|---|---|---|
| Diensttag | AzureCloud.<Region> |
UDP | 1.194 |
| Diensttag | AzureCloud.<Region> |
TCP | 9000 |
| Any | * | TCP | 443, 80 |
Clusterspezifischer Datenverkehr
In diesem Abschnitt wird clusterspezifischer Datenverkehr beschrieben, den ein Unternehmen anwenden kann.
Trino
| Destination | Zielendpunkt | Protokoll | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destination | Zielendpunkt | Protokoll | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 |
| Diensttag | Speicher<Region>. |
TCP | 445 |
Apache Flink
None
Eingehende Sicherheitsregeln (eingehender Datenverkehr)
Beim Erstellen von Clustern werden auch bestimmte öffentliche IPs erstellt. Damit Anforderungen an den Cluster gesendet werden können, müssen Sie den Datenverkehr zu diesen öffentlichen IPs mit Port 80 und 443 zulassen.
Der folgende Azure CLI-Befehl kann Ihnen beim Abrufen der eingehenden öffentlichen IP helfen:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| `Source` | IP-Quelladressen/CIDR-Bereiche | Protokoll | Port |
|---|---|---|---|
| IP-Adressen | <Public IP retrieved from above command> |
TCP | 80 |
| IP-Adressen | <Public IP retrieved from above command> |
TCP | 443 |