Использование группы безопасности сети для ограничения трафика в HDInsight в AKS
Примечание.
Мы отставим Azure HDInsight в AKS 31 января 2025 г. До 31 января 2025 г. необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого прекращения рабочих нагрузок. Оставшиеся кластеры в подписке будут остановлены и удалены из узла.
До даты выхода на пенсию будет доступна только базовая поддержка.
Внимание
Эта функция в настоящее время доступна для предварительного ознакомления. Дополнительные условия использования для предварительных версий Microsoft Azure включают более юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в статье Azure HDInsight в предварительной версии AKS. Для вопросов или предложений функций отправьте запрос на AskHDInsight с подробными сведениями и следуйте за нами для получения дополнительных обновлений в сообществе Azure HDInsight.
HDInsight в AKS зависит от исходящих зависимостей AKS, и они полностью определены с полными доменными именами, которые не имеют статических адресов за ними. Отсутствие статических IP-адресов означает, что нельзя использовать группы безопасности сети (NSG) для блокировки исходящего трафика из кластера с помощью IP-адресов.
Если вы по-прежнему предпочитаете использовать группу безопасности сети для защиты трафика, необходимо настроить следующие правила в NSG для выполнения грубого контроля.
Узнайте , как создать правило безопасности в NSG.
Правила безопасности исходящего трафика (исходящий трафик)
Общий трафик
| Назначение | Целевая конечная точка | Протокол | Порт |
|---|---|---|---|
| Тег службы | AzureCloud.<Region> |
UDP | 1194 |
| Тег службы | AzureCloud.<Region> |
TCP | 9000 |
| Любое | * | TCP | 443, 80 |
Конкретный трафик кластера
В этом разделе описывается конкретный трафик кластера, который может применяться предприятием.
Трино
| Назначение | Целевая конечная точка | Протокол | Порт |
|---|---|---|---|
| Любое | * | TCP | 1433 |
| Тег службы | Sql.<Region> |
TCP | 11000–11999; |
Spark
| Назначение | Целевая конечная точка | Протокол | Порт |
|---|---|---|---|
| Любое | * | TCP | 1433 |
| Тег службы | Sql.<Region> |
TCP | 11000–11999; |
| Тег службы | Storage.<Region> |
TCP | 445 |
Apache Flink
нет
Правила безопасности для входящего трафика (входящий трафик)
При создании кластеров также создаются определенные общедоступные IP-адреса входящего трафика. Чтобы разрешить отправку запросов в кластер, необходимо разрешить список трафика для этих общедоступных IP-адресов с портом 80 и 443.
Следующая команда Azure CLI поможет вам получить общедоступный IP-адрес входящего трафика:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Источник | Исходные IP-адреса и диапазоны CIDR | Протокол | Порт |
|---|---|---|---|
| IP-адреса | <Public IP retrieved from above command> |
Протокол tcp | 80 |
| IP-адреса | <Public IP retrieved from above command> |
Протокол tcp | 443 |