Uso de un grupo de seguridad de red para restringir el tráfico a HDInsight en AKS
Importante
Esta funcionalidad actualmente está en su versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Microsoft Azure incluyen más términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar, o que todavía no se han lanzado con disponibilidad general. Para obtener información sobre esta versión preliminar específica, consulte la Información de Azure HDInsight sobre la versión preliminar de AKS. Para plantear preguntas o sugerencias sobre la característica, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Comunidad de Azure HDInsight.
HDInsight en AKS se basa en las dependencias de salida de AKS y se definen casi por completo mediante FQDN, que no tienen direcciones estáticas tras ellos. La falta de direcciones IP estáticas significa que no puede usar grupos de seguridad de red (NSG) para bloquear el tráfico de salida del clúster mediante direcciones IP.
Si todavía prefiere usar grupos de seguridad de red para proteger el tráfico, debe configurar las siguientes reglas en el grupo de seguridad de red para realizar un control general.
Aprenda a crear una regla de seguridad en un NSG.
Reglas de seguridad de salida (tráfico de salida)
Tráfico común
| Destination | Punto de conexión de destino | Protocolo | Puerto |
|---|---|---|---|
| Etiqueta de servicio | AzureCloud.<Region> |
UDP | 1194 |
| Etiqueta de servicio | AzureCloud.<Region> |
TCP | 9000 |
| Any | * | TCP | 443, 80 |
Tráfico específico del clúster
En esta sección se describe el tráfico específico del clúster que una empresa puede aplicar.
Trino
| Destination | Punto de conexión de destino | Protocolo | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destination | Punto de conexión de destino | Protocolo | Port |
|---|---|---|---|
| Any | * | TCP | 1433 |
| Etiqueta de servicio | Sql.<Region> |
TCP | 11000-11999 |
| Etiqueta de servicio | Storage<Region> (Almacenamiento). |
TCP | 445 |
Apache Flink
Ninguno
Reglas de seguridad de entrada (tráfico de entrada)
Cuando se crean clústeres, también se crean determinadas direcciones IP públicas de entrada. Para permitir que las solicitudes se envíen al clúster, debe incluir en la lista de permitidos el tráfico a estas direcciones IP públicas con el puerto 80 y el 443.
El siguiente comando de la CLI de Azure puede ayudarle a obtener la dirección IP pública de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Source | Intervalos de direcciones IP de origen y CIDR | Protocolo | Port |
|---|---|---|---|
| Direcciones IP | <Public IP retrieved from above command> |
TCP | 80 |
| Direcciones IP | <Public IP retrieved from above command> |
TCP | 443 |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de