Verwenden von NSG zum Einschränken des Datenverkehrs auf HDInsight on AKS
HDInsight on AKS basiert auf ausgehenden AKS-Abhängigkeiten. Sie sind vollständig mit FQDNs definiert, die nicht über statische Adressen verfügen. Das Fehlen statischer Adressen bedeutet, dass Sie keine Netzwerksicherheitsgruppen (NSGs) verwenden können, um den ausgehenden Datenverkehr des Clusters mit IPs zu sperren.
Wenn Sie eine NSG weiterhin verwenden möchten, um Ihren Datenverkehr zu schützen, müssen Sie die folgenden Regeln in der NSG so konfigurieren, dass eine differenzierte Steuerung ausgeführt wird.
Weitere Informationen finden Sie unter Erstellen einer Sicherheitsregel in einer NSG.
Ausgangssicherheitsregeln (ausgehender Datenverkehr)
Allgemeiner Datenverkehr
| Destination | Zielendpunkt | Protokoll | Port |
|---|---|---|---|
| Diensttag | AzureCloud.<Region> |
UDP | 1.194 |
| Diensttag | AzureCloud.<Region> |
TCP | 9000 |
| Any | * | TCP | 443, 80 |
Clusterspezifischer Datenverkehr
In diesem Abschnitt wird clusterspezifischer Datenverkehr beschrieben, den ein Unternehmen anwenden kann.
Trino
| Destination | Zielendpunkt | Protokoll | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destination | Zielendpunkt | Protokoll | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Diensttag | Sql.<Region> |
TCP | 11000-11999 |
| Diensttag | Speicher<Region>. |
TCP | 445 |
Apache Flink
None
Eingehende Sicherheitsregeln (eingehender Datenverkehr)
Beim Erstellen von Clustern werden auch bestimmte öffentliche IPs erstellt. Damit Anforderungen an den Cluster gesendet werden können, müssen Sie den Datenverkehr zu diesen öffentlichen IPs mit Port 80 und 443 zulassen.
Der folgende Azure CLI-Befehl kann Ihnen beim Abrufen der eingehenden öffentlichen IP helfen:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| `Source` | IP-Quelladressen/CIDR-Bereiche | Protokoll | Port |
|---|---|---|---|
| IP-Adressen | <Public IP retrieved from above command> |
TCP | 80 |
| IP-Adressen | <Public IP retrieved from above command> |
TCP | 443 |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für