Použití skupiny zabezpečení sítě k omezení provozu do SLUŽBY HDInsight v AKS
Poznámka:
Azure HDInsight vyřadíme ze služby AKS 31. ledna 2025. Před 31. lednem 2025 budete muset migrovat úlohy do Microsoft Fabric nebo ekvivalentního produktu Azure, abyste se vyhnuli náhlému ukončení úloh. Zbývající clustery ve vašem předplatném se zastaví a odeberou z hostitele.
Do data vyřazení bude k dispozici pouze základní podpora.
Důležité
Tato funkce je aktuálně dostupná jako ukázková verze. Doplňkové podmínky použití pro Microsoft Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo ještě nejsou vydány v obecné dostupnosti. Informace o této konkrétní verzi Preview najdete v tématu Azure HDInsight o službě AKS ve verzi Preview. Pokud máte dotazy nebo návrhy funkcí, odešlete prosím žádost na AskHDInsight s podrobnostmi a sledujte nás o dalších aktualizacích v komunitě Azure HDInsight.
HDInsight v AKS spoléhá na odchozí závislosti AKS a jsou plně definované plně kvalifikovanými názvy domén, které za sebou nemají statické adresy. Nedostatek statických IP adres znamená, že není možné použít skupiny zabezpečení sítě (NSG) k uzamčení odchozího provozu z clusteru pomocí IP adres.
Pokud stále dáváte přednost použití skupiny zabezpečení sítě k zabezpečení provozu, musíte v NSG nakonfigurovat následující pravidla, aby řídila hrubě odstupňovanou kontrolu.
Zjistěte , jak vytvořit pravidlo zabezpečení ve skupině zabezpečení sítě.
Odchozí pravidla zabezpečení (odchozí provoz)
Běžný provoz
| Cíl | Cílový koncový bod | Protokol | Port |
|---|---|---|---|
| Značka služby | AzureCloud.<Region> |
UDP | 1194 |
| Značka služby | AzureCloud.<Region> |
TCP | 9000 |
| Všechny | * | TCP | 443, 80 |
Provoz specifický pro cluster
Tato část popisuje provoz specifický pro cluster, který může podnik použít.
Trino
| Cíl | Cílový koncový bod | Protokol | Port |
|---|---|---|---|
| Všechny | * | TCP | 1433 |
| Značka služby | Sql.<Region> |
TCP | 11000 až 11999 |
Spark
| Cíl | Cílový koncový bod | Protokol | Port |
|---|---|---|---|
| Všechny | * | TCP | 1433 |
| Značka služby | Sql.<Region> |
TCP | 11000 až 11999 |
| Značka služby | Skladování.<Region> |
TCP | 445 |
Apache Flink
Nic
Příchozí pravidla zabezpečení (příchozí provoz)
Po vytvoření clusterů se vytvoří také určité veřejné IP adresy příchozího přenosu dat. Pokud chcete povolit odesílání požadavků do clusteru, musíte povolit zařazení provozu na tyto veřejné IP adresy s portem 80 a 443.
Následující příkaz Azure CLI vám může pomoct získat veřejnou IP adresu příchozího přenosu dat:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Zdroj | Zdrojové IP adresy nebo rozsahy CIDR | Protokol | Přístav |
|---|---|---|---|
| IP adresy | <Public IP retrieved from above command> |
Protokol tcp | 80 |
| IP adresy | <Public IP retrieved from above command> |
Protokol tcp | 443 |