A HDInsighthoz szükséges kimenő forgalom az AKS-en
Fontos
Ez a szolgáltatás jelenleg előzetes kiadásban elérhető. A Microsoft Azure Előzetes verzió kiegészítő használati feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy egyébként még nem általánosan elérhető Azure-funkciókra vonatkoznak. Erről az adott előzetes verzióról az Azure HDInsight az AKS előzetes verziójában tájékozódhat. Ha kérdése vagy funkciójavaslata van, küldjön egy kérést az AskHDInsightban a részletekkel együtt, és kövessen minket további frissítésekért az Azure HDInsight-közösségről.
Feljegyzés
Az AKS-en futó HDInsight alapértelmezés szerint Az Azure CNI átfedéses hálózati modelljét használja. További információ: Azure CNI Overlay networking.
Ez a cikk a vállalati hálózati házirendek kezeléséhez és a hálózati biztonsági csoportok (NSG-k) szükséges módosításához szükséges hálózati információkat ismerteti a HDInsight AKS-en való zökkenőmentes működéséhez.
Ha tűzfallal szabályozza a HDInsight felé irányuló kimenő forgalmat az AKS-fürtön, győződjön meg arról, hogy a fürt képes kommunikálni a kritikus Azure-szolgáltatásokkal. Ezeknek a szolgáltatásoknak a biztonsági szabályai közül néhány régióspecifikus, és néhányuk az összes Azure-régióra vonatkozik.
A kimenő forgalom engedélyezéséhez konfigurálnia kell a következő hálózati és alkalmazásbiztonsági szabályokat a tűzfalon.
Gyakori forgalom
| Típus | Célvégpont | Protokoll | Kikötő | Azure Firewall-szabály típusa | Használat |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Hálózati biztonsági szabály | Bújtatott biztonságos kommunikáció a csomópontok és a vezérlősík között. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Hálózati biztonsági szabály | Bújtatott biztonságos kommunikáció a csomópontok és a vezérlősík között. |
| Teljes tartománynév címkéje | AzureKubernetesService | HTTPS | 443 | Alkalmazásbiztonsági szabály | Az AKS-szolgáltatás megköveteli. |
| Szolgáltatáscímke | AzureMonitor | TCP | 443 | Hálózati biztonsági szabály | Az Azure Monitorral való integrációhoz szükséges. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Alkalmazásbiztonsági szabály | Letölti a Docker-rendszerkép metaadatait a HDInsight AKS-en való beállításához és a monitorozáshoz. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Alkalmazásbiztonsági szabály | A HDInsight monitorozása és beállítása az AKS-en. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Alkalmazásbiztonsági szabály | Hitelesítés. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Alkalmazásbiztonsági szabály | Figyelés. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Alkalmazásbiztonsági szabály | Figyelés. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Alkalmazásbiztonsági szabály | Figyelés. |
| **FQDN | API Server teljes tartománynév (az AKS-fürt létrehozása után érhető el) | TCP | 443 | Hálózati biztonsági szabály | Szükséges, mivel a futó podok/üzemelő példányok az API-kiszolgáló eléréséhez használják. Ezeket az információkat a fürtkészlet mögött futó AKS-fürtből szerezheti be. További információkért tekintse meg , hogyan szerezheti be az API Server teljes tartománynevét az Azure Portal használatával. |
Feljegyzés
** Ez a konfiguráció nem szükséges, ha engedélyezi a privát AKS-t.
Fürtspecifikus forgalom
Az alábbi szakasz a fürtalakzatok által igényelt konkrét hálózati forgalmat vázolja fel annak érdekében, hogy a vállalatok ennek megfelelően tervezhessenek és frissítsék a hálózati szabályokat.
Trinó
| Típus | Célvégpont | Protokoll | Kikötő | Azure Firewall-szabály típusa | Használat |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Alkalmazásbiztonsági szabály | Kötelező, ha a Hive engedélyezve van. Ez a felhasználó saját Storage-fiókja, például contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Alkalmazásbiztonsági szabály | Kötelező, ha a Hive engedélyezve van. A felhasználó saját SQL-kiszolgálója, például contososqlserver.database.windows.net |
| Szolgáltatáscímke | Sql.<Region> |
TCP | 11000-11999 | Hálózati biztonsági szabály | Kötelező, ha a Hive engedélyezve van. Az SQL Serverhez való csatlakozáshoz használják. Az 11000 és 11999 közötti portokon ajánlott engedélyezni az ügyféltől az összes Azure SQL IP-cím felé irányuló kimenő kommunikációt a régióban. Az SQL szolgáltatáscímkéinek használatával egyszerűbbé teheti ezt a folyamatot. Az átirányítási kapcsolati szabályzat használatakor tekintse meg az Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő című témakört a régió ip-címeinek engedélyezéséhez. |
Spark
| Típus | Célvégpont | Protokoll | Kikötő | Azure Firewall-szabály típusa | Használat |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Alkalmazásbiztonsági szabály | Spark Azure Data Lake Storage Gen2. Ez a felhasználó Storage-fiókja: például contosottss.dfs.core.windows.net |
| Szolgáltatáscímke | Tároló.<Region> |
TCP | 445 | Hálózati biztonsági szabály | SMB-protokoll használata az Azure File-hoz való csatlakozáshoz |
| FQDN | *.database.windows.net | mysql | 1433 | Alkalmazásbiztonsági szabály | Kötelező, ha a Hive engedélyezve van. A felhasználó saját SQL-kiszolgálója, például contososqlserver.database.windows.net |
| Szolgáltatáscímke | Sql.<Region> |
TCP | 11000-11999 | Hálózati biztonsági szabály | Kötelező, ha a Hive engedélyezve van. Az SQL Serverhez való csatlakozásra szolgál. Az 11000 és 11999 közötti portokon ajánlott engedélyezni az ügyféltől az összes Azure SQL IP-cím felé irányuló kimenő kommunikációt a régióban. Az SQL szolgáltatáscímkéinek használatával egyszerűbbé teheti ezt a folyamatot. Az átirányítási kapcsolati szabályzat használatakor tekintse meg az Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő című témakört a régió ip-címeinek engedélyezéséhez. |
Apache Flink
| Típus | Célvégpont | Protokoll | Kikötő | Azure Firewall-szabály típusa | Használat |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Alkalmazásbiztonsági szabály | Flink Azure Data Lake Storage Gens. Ez a felhasználó Storage-fiókja: például contosottss.dfs.core.windows.net |
Következő lépések
- Tűzfal használata a kimenő forgalom szabályozásához és szabályok alkalmazásához.
- Az NSG használata a forgalom korlátozásához.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: