Použití skupiny zabezpečení sítě k omezení provozu do SLUŽBY HDInsight v AKS
HDInsight v AKS spoléhá na odchozí závislosti AKS a jsou plně definované plně kvalifikovanými názvy domén, které za sebou nemají statické adresy. Nedostatek statických IP adres znamená, že není možné použít skupiny zabezpečení sítě (NSG) k uzamčení odchozího provozu z clusteru pomocí IP adres.
Pokud stále dáváte přednost použití skupiny zabezpečení sítě k zabezpečení provozu, musíte v NSG nakonfigurovat následující pravidla, aby řídila hrubě odstupňovanou kontrolu.
Zjistěte , jak vytvořit pravidlo zabezpečení ve skupině zabezpečení sítě.
Odchozí pravidla zabezpečení (odchozí provoz)
Běžný provoz
| Cíl | Cílový koncový bod | Protokol | Port |
|---|---|---|---|
| Značka služby | AzureCloud.<Region> |
UDP | 1194 |
| Značka služby | AzureCloud.<Region> |
TCP | 9000 |
| Všechny | * | TCP | 443, 80 |
Provoz specifický pro cluster
Tato část popisuje provoz specifický pro cluster, který může podnik použít.
Trino
| Cíl | Cílový koncový bod | Protokol | Port |
|---|---|---|---|
| Všechny | * | TCP | 1433 |
| Značka služby | Sql.<Region> |
TCP | 11000 až 11999 |
Spark
| Cíl | Cílový koncový bod | Protokol | Port |
|---|---|---|---|
| Všechny | * | TCP | 1433 |
| Značka služby | Sql.<Region> |
TCP | 11000 až 11999 |
| Značka služby | Skladování.<Region> |
TCP | 445 |
Apache Flink
Nic
Příchozí pravidla zabezpečení (příchozí provoz)
Po vytvoření clusterů se vytvoří také určité veřejné IP adresy příchozího přenosu dat. Pokud chcete povolit odesílání požadavků do clusteru, musíte povolit zařazení provozu na tyto veřejné IP adresy s portem 80 a 443.
Následující příkaz Azure CLI vám může pomoct získat veřejnou IP adresu příchozího přenosu dat:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Zdroj | Zdrojové IP adresy nebo rozsahy CIDR | Protokol | Přístav |
|---|---|---|---|
| IP adresy | <Public IP retrieved from above command> |
Protokol tcp | 80 |
| IP adresy | <Public IP retrieved from above command> |
Protokol tcp | 443 |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro