Usar o NSG para restringir o tráfego ao HDInsight no AKS
Nota
Vamos desativar o Azure HDInsight no AKS em 31 de janeiro de 2025. Antes de 31 de janeiro de 2025, você precisará migrar suas cargas de trabalho para o Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho. Os clusters restantes na sua subscrição serão interrompidos e removidos do anfitrião.
Apenas o apoio básico estará disponível até à data da reforma.
Importante
Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Para obter informações sobre essa visualização específica, consulte Informações de visualização do Azure HDInsight no AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight.
O HDInsight no AKS depende das dependências de saída do AKS e elas são totalmente definidas com FQDNs, que não têm endereços estáticos por trás. A falta de endereços IP estáticos significa que não é possível usar NSGs (Network Security Groups) para bloquear o tráfego de saída do cluster usando IPs.
Se você ainda preferir usar o NSG para proteger seu tráfego, precisará configurar as seguintes regras no NSG para fazer um controle de grão grosso.
Saiba como criar uma regra de segurança no NSG.
Regras de segurança de saída (tráfego de saída)
Tráfego comum
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Etiqueta de Serviço | AzureCloud.<Region> |
UDP | 1194 |
| Etiqueta de Serviço | AzureCloud.<Region> |
TCP | 9000 |
| Qualquer | * | TCP | 443, 80 |
Tráfego específico do cluster
Esta seção descreve o tráfego específico do cluster que uma empresa pode aplicar.
Trino
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Etiqueta de Serviço | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Etiqueta de Serviço | Sql.<Region> |
TCP | 11000-11999 |
| Etiqueta de Serviço | Armazenamento.<Region> |
TCP | 445 |
Apache Flink
Nenhuma
Regras de segurança de entrada (tráfego de entrada)
Quando os clusters são criados, certos IPs públicos de entrada também são criados. Para permitir que as solicitações sejam enviadas para o cluster, você precisa permitir a lista de tráfego para esses IPs públicos com as portas 80 e 443.
O seguinte comando da CLI do Azure pode ajudá-lo a obter o IP público de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fonte | Endereços IP de origem/intervalos CIDR | Protocolo | Porto |
|---|---|---|---|
| Endereços IP | <Public IP retrieved from above command> |
TCP | 80 |
| Endereços IP | <Public IP retrieved from above command> |
TCP | 443 |