Utiliser NSG pour restreindre le trafic vers HDInsight sur AKS
Important
Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.
HDInsight sur AKS s'appuie sur les dépendances sortantes AKS et elles sont entièrement définies avec des noms de domaine complets, qui n'ont pas d'adresses statiques derrière eux. Le manque d'adresses IP statiques signifie que l'on ne peut pas utiliser les groupes de sécurité réseau (NSG) pour verrouiller le trafic sortant du cluster à l'aide d'adresses IP.
Si vous préférez toujours utiliser le groupe de réseau de sécurité pour sécuriser votre trafic, vous devez configurer les règles dans les suivantes le groupe de réseau de sécurité pour effectuer un contrôle grossière.
Découvrez comment créer une règle de sécurité dans NSG.
Règles de sécurité sortantes (trafic de sortie)
Trafic commun
| Destination | Point de terminaison de destination | Protocol | Port |
|---|---|---|---|
| Étiquette du service | AzureCloud.<Region> |
UDP | 1194 |
| Étiquette du service | AzureCloud.<Region> |
TCP | 9000 |
| Quelconque | * | TCP | 443, 80 |
Trafic spécifique au cluster
Cette section décrit le trafic spécifique au cluster qu'une entreprise peut appliquer.
Trino
| Destination | Point de terminaison de destination | Protocol | Port |
|---|---|---|---|
| Quelconque | * | TCP | 1433 |
| Étiquette du service | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destination | Point de terminaison de destination | Protocol | Port |
|---|---|---|---|
| Quelconque | * | TCP | 1433 |
| Étiquette du service | Sql.<Region> |
TCP | 11000-11999 |
| Étiquette du service | Stockage<Region>. |
TCP | 445 |
Apache Flink
Aucun
Règles de sécurité entrantes (trafic entrant)
Lorsque des clusters sont créés, certaines adresses IP publiques d'entrée sont également créées. Pour autoriser l'envoi de requêtes au cluster, vous devez autoriser le trafic vers ces adresses IP publiques avec les ports 80 et 443.
La commande Azure CLI suivante peut vous aider à obtenir l’adresse IP publique d’entrée :
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Source | Adresses IP sources/plages CIDR | Protocole | Port |
|---|---|---|---|
| Adresses IP | <Public IP retrieved from above command> |
TCP | 80 |
| Adresses IP | <Public IP retrieved from above command> |
TCP | 443 |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour