Erforderlicher ausgehender Datenverkehr für HDInsight on AKS
Wichtig
Diese Funktion steht derzeit als Vorschau zur Verfügung. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure-Vorschauen enthalten weitere rechtliche Bestimmungen, die für Azure-Features in Betaversionen, in Vorschauversionen oder anderen Versionen gelten, die noch nicht allgemein verfügbar gemacht wurden. Informationen zu dieser spezifischen Vorschau finden Sie unter Informationen zur Vorschau von Azure HDInsight on AKS. Bei Fragen oder Funktionsvorschlägen senden Sie eine Anfrage an AskHDInsight mit den entsprechenden Details, und folgen Sie uns für weitere Updates in der Azure HDInsight-Community.
Hinweis
HDInsight auf AKS verwendet standardmäßig das Azure CNI Überlagerungs-Netzwerkmodell. Weitere Informationen finden Sie unter Azure CNI Overlay-Netzwerke.
In diesem Artikel werden die Netzwerkinformationen beschrieben, um die Netzwerkrichtlinien im Unternehmen zu verwalten und erforderliche Änderungen an den Netzwerksicherheitsgruppen (NSGs) vorzunehmen, um das reibungslose Funktionieren von HDInsight on AKS sicherzustellen.
Wenn Sie die Firewall verwenden, um ausgehenden Datenverkehr zu Ihrem HDInsight on AKS-Cluster zu steuern, müssen Sie sicherstellen, dass Ihr Cluster mit wichtigen Azure-Diensten kommunizieren kann. Einige der Sicherheitsregeln für diese Dienste sind regionsspezifisch, und einige gelten für alle Azure-Regionen.
Sie müssen die folgenden Netzwerk- und Anwendungssicherheitsregeln in Ihrer Firewall konfigurieren, um ausgehenden Datenverkehr zuzulassen.
Allgemeiner Datenverkehr
| Typ | Zielendpunkt | Protokoll | Port | Azure Firewall-Regeltypen | Verwenden |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1.194 | Netzwerksicherheitsregel | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Netzwerksicherheitsregel | Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene. |
| FQDN-Tag | AzureKubernetesService | HTTPS | 443 | Anwendungssicherheitsregel | Erforderlich für den AKS-Dienst. |
| Diensttag | AzureMonitor | TCP | 443 | Netzwerksicherheitsregel | Erforderlich für die Integration mit Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Anwendungssicherheitsregel | Lädt Metadateninformationen des Docker-Images zum Einrichten von HDInsight on AKS und Monitoring herunter. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung und Einrichtung von HDInsight on AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Anwendungssicherheitsregel | Authentifizierung. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung: |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung: |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Überwachung: |
| ** FQDN | API-Server-FQDN (verfügbar, nachdem AKS-Cluster erstellt wurde) | TCP | 443 | Netzwerksicherheitsregel | Erforderlich, da die ausgeführten Pods/Bereitstellungen sie verwenden, um auf den API-Server zuzugreifen. Sie können diese Informationen aus dem AKS-Cluster abrufen, der hinter dem Clusterpool ausgeführt wird. Weitere Informationen finden Sie unter Abrufen der API-Server-FQDN mithilfe des Azure-Portals. |
Hinweis
** Diese Konfiguration ist nicht erforderlich, wenn Sie private AKS aktivieren.
Clusterspezifischer Datenverkehr
Im folgenden Abschnitt werden alle spezifischen Netzwerkdatenverkehre beschrieben, die eine Clusterform erfordert, um Unternehmen bei der Planung und Aktualisierung der Netzwerkregeln zu unterstützen.
Trino
| Typ | Zielendpunkt | Protokoll | Port | Azure Firewall-Regeltypen | Verwendung |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es ist das eigene Speicherkonto des Benutzers, z. B. contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Anwendungssicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es ist der eigene SQL-Server des Benutzers, z. B. contososqlserver.database.windows.net |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 | Netzwerksicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Wird verwendet, um eine Verbindung mit SQL Server herzustellen. Es wird empfohlen, ausgehende Kommunikation zwischen dem Client und allen IP-Adressen für Azure SQL in der Region an Ports im Bereich zwischen 11000 und 11999 zuzulassen. Verwenden Sie die Diensttags für SQL, um die Verwaltung des Vorgangs zu vereinfachen. Wenn Sie die Verbindungsrichtlinie „Redirect“ (Option „Umleiten“) verwenden, beachten Sie die unter Azure-IP-Adressbereiche und -Diensttags: öffentliche Cloud bereitgestellte Liste der für Ihre Region zulässigen IP-Adressen. |
Spark
| Typ | Zielendpunkt | Protokoll | Port | Azure Firewall-Regeltypen | Verwendung |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Anwendungssicherheitsregel | Spark Azure Data Lake Storage Gen2. Es ist das Speicherkonto des Benutzers: z. B. contosottss.dfs.core.windows.net |
| Diensttag | Speicher<Region>. |
TCP | 445 | Netzwerksicherheitsregel | Verwenden des SMB-Protokolls zum Herstellen einer Verbindung mit Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Anwendungssicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Es ist der eigene SQL-Server des Benutzers, z. B. contososqlserver.database.windows.net |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 | Netzwerksicherheitsregel | Erforderlich, wenn Hive aktiviert ist. Wird zur Herstellung der Verbindung mit SQL Server verwendet. Es wird empfohlen, ausgehende Kommunikation zwischen dem Client und allen IP-Adressen für Azure SQL in der Region an Ports im Bereich zwischen 11000 und 11999 zuzulassen. Verwenden Sie die Diensttags für SQL, um die Verwaltung des Vorgangs zu vereinfachen. Wenn Sie die Verbindungsrichtlinie „Redirect“ (Option „Umleiten“) verwenden, beachten Sie die unter Azure-IP-Adressbereiche und -Diensttags: öffentliche Cloud bereitgestellte Liste der für Ihre Region zulässigen IP-Adressen. |
Apache Flink
| Typ | Zielendpunkt | Protokoll | Port | Azure Firewall-Regeltypen | Verwendung |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Anwendungssicherheitsregel | Flink Azure Data Lake Storage Gens. Es ist das Speicherkonto des Benutzers: z. B. contosottss.dfs.core.windows.net |
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für