Använda NSG för att begränsa trafik till HDInsight på AKS
Kommentar
Vi drar tillbaka Azure HDInsight på AKS den 31 januari 2025. Före den 31 januari 2025 måste du migrera dina arbetsbelastningar till Microsoft Fabric eller en motsvarande Azure-produkt för att undvika plötsliga uppsägningar av dina arbetsbelastningar. Återstående kluster i din prenumeration stoppas och tas bort från värden.
Endast grundläggande stöd kommer att vara tillgängligt fram till datumet för pensionering.
Viktigt!
Den här funktionen finns i förhandsgranskning. De kompletterande användningsvillkoren för Förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. Om du vill ha frågor eller funktionsförslag skickar du en begäran på AskHDInsight med informationen och följer oss för fler uppdateringar i Azure HDInsight Community.
HDInsight på AKS förlitar sig på utgående AKS-beroenden och de definieras helt med FQDN:er, som inte har statiska adresser bakom sig. Bristen på statiska IP-adresser innebär att man inte kan använda nätverkssäkerhetsgrupper (NSG:er) för att låsa utgående trafik från klustret med ip-adresser.
Om du fortfarande föredrar att använda NSG för att skydda din trafik måste du konfigurera följande regler i NSG för att göra en grov kornig kontroll.
Lär dig hur du skapar en säkerhetsregel i NSG.
Utgående säkerhetsregler (utgående trafik)
Vanlig trafik
| Mål | Målslutpunkt | Protokoll | Port |
|---|---|---|---|
| Service Tag | AzureCloud.<Region> |
UDP | 1194 |
| Service Tag | AzureCloud.<Region> |
TCP | 9 000 |
| Alla | * | TCP | 443, 80 |
Klusterspecifik trafik
I det här avsnittet beskrivs klusterspecifik trafik som ett företag kan använda.
Trino
| Mål | Målslutpunkt | Protokoll | Port |
|---|---|---|---|
| Alla | * | TCP | 1433 |
| Service Tag | SQL.<Region> |
TCP | 11000–11999 |
Spark
| Mål | Målslutpunkt | Protokoll | Port |
|---|---|---|---|
| Alla | * | TCP | 1433 |
| Service Tag | SQL.<Region> |
TCP | 11000–11999 |
| Service Tag | Lagring.<Region> |
TCP | 445 |
Apache Flink
Ingen
Inkommande säkerhetsregler (inkommande trafik)
När kluster skapas skapas även vissa inkommande offentliga IP-adresser. Om du vill tillåta att begäranden skickas till klustret måste du tillåtalistning av trafiken till dessa offentliga IP-adresser med port 80 och 443.
Följande Azure CLI-kommando kan hjälpa dig att hämta den offentliga IP-adressen för inkommande:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Källa | Källans IP-adresser/CIDR-intervall | Protokoll | Hamn |
|---|---|---|---|
| IP-adresser | <Public IP retrieved from above command> |
TCP | 80 |
| IP-adresser | <Public IP retrieved from above command> |
TCP | 443 |