NSG を使用して HDInsight on AKS へのトラフィックを制限する

  • [アーティクル]

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加の使用条件」に記載されています。 この特定のプレビューについては、「Microsoft HDInsight on AKS のプレビュー情報」を参照してください。 質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信してください。また、その他の更新情報については、Azure HDInsight コミュニティのフォローをお願いいたします。

HDInsight on AKS は AKS の送信依存関係を利用します。この依存関係は、背後に静的アドレスがない FQDN を使用してすべて定義されています。 静的 IP アドレスがないということは、ネットワーク セキュリティ グループ (NSG) を使用して IP を使用するクラスターからのアウトバウンド トラフィックをロック ダウンできないことを意味します。

それでも NSG を使用してトラフィックをセキュリティで保護する場合は、粗い制御を行うように NSG で次の規則を構成する必要があります。

NSG でセキュリティ規則を作成する方法に関するページをご覧ください。

送信セキュリティ規則 (エグレス トラフィック)

一般的なトラフィック

宛先 送信先エンドポイント Protocol [ポート]
サービス タグ AzureCloud.<Region> UDP 1194
サービス タグ AzureCloud.<Region> TCP 9000
Any * TCP 443、80

クラスター固有のトラフィック

このセクションでは、企業が適用できるクラスター固有のトラフィックについて説明します。

Trino

宛先 送信先エンドポイント Protocol Port
Any * TCP 1433
サービス タグ Sql.<Region> TCP 11000 ~ 11999

Spark

宛先 送信先エンドポイント Protocol Port
Any * TCP 1433
サービス タグ Sql.<Region> TCP 11000 ~ 11999
サービス タグ Storage]\(次へ: ストレージ\)<Region> を選択します。 TCP 445

なし

受信セキュリティ規則 (イングレス トラフィック)

クラスターが作成されると、特定のイングレス パブリック IP も作成されます。 クラスターに要求を送信できるようにするには、ポート 80 と 443 でこれらのパブリック IP へのトラフィックを許可リストに載せる必要があります。

次の Azure CLI コマンドは、イングレス パブリック IP を取得するのに役立ちます。

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
source ソース IP アドレス/CIDR 範囲 プロトコル Port
IP アドレス <Public IP retrieved from above command>  TCP 80
IP アドレス <Public IP retrieved from above command>  TCP 443