Menggunakan NSG untuk membatasi lalu lintas ke HDInsight di AKS
Catatan
Kami akan menghentikan Azure HDInsight di AKS pada 31 Januari 2025. Sebelum 31 Januari 2025, Anda harus memigrasikan beban kerja anda ke Microsoft Fabric atau produk Azure yang setara untuk menghindari penghentian tiba-tiba beban kerja Anda. Kluster yang tersisa pada langganan Anda akan dihentikan dan dihapus dari host.
Hanya dukungan dasar yang akan tersedia hingga tanggal penghentian.
Penting
Fitur ini masih dalam mode pratinjau. Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure mencakup lebih banyak persyaratan hukum yang berlaku untuk fitur Azure yang dalam versi beta, dalam pratinjau, atau belum dirilis ke ketersediaan umum. Untuk informasi tentang pratinjau khusus ini, lihat Azure HDInsight pada informasi pratinjau AKS. Untuk pertanyaan atau saran fitur, kirimkan permintaan di AskHDInsight dengan detail dan ikuti kami untuk pembaruan lebih lanjut di Komunitas Azure HDInsight.
HDInsight pada AKS bergantung pada dependensi keluar AKS dan sepenuhnya ditentukan dengan FQDN, yang tidak memiliki alamat statis di belakangnya. Kurangnya alamat IP statis berarti seseorang tidak dapat menggunakan Kelompok Keamanan Jaringan (NSG) untuk mengunci lalu lintas keluar dari kluster menggunakan IP.
Jika Anda masih lebih suka menggunakan NSG untuk mengamankan lalu lintas Anda, maka Anda perlu mengonfigurasi aturan berikut di NSG untuk melakukan kontrol kasar.
Pelajari cara membuat aturan keamanan di NSG.
Aturan keamanan keluar (Lalu lintas keluar)
Lalu lintas umum
| Tujuan | Titik Akhir Tujuan | Protokol | Port |
|---|---|---|---|
| Tag Layanan | AzureCloud.<Region> |
UDP | 1194 |
| Tag Layanan | AzureCloud.<Region> |
TCP | 9000 |
| Mana pun | * | TCP | 443, 80 |
Lalu lintas spesifik kluster
Bagian ini menguraikan lalu lintas spesifik kluster yang dapat diterapkan perusahaan.
Trino
| Tujuan | Titik Akhir Tujuan | Protokol | Port |
|---|---|---|---|
| Mana pun | * | TCP | 1433 |
| Tag Layanan | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Tujuan | Titik Akhir Tujuan | Protokol | Port |
|---|---|---|---|
| Mana pun | * | TCP | 1433 |
| Tag Layanan | Sql.<Region> |
TCP | 11000-11999 |
| Tag Layanan | Penyimpanan.<Region> |
TCP | 445 |
Apache Flink
Tidak
Aturan keamanan masuk (Lalu lintas masuk)
Ketika kluster dibuat, MAKA IP publik ingress tertentu juga dibuat. Untuk mengizinkan permintaan dikirim ke kluster, Anda perlu mengizinkan daftar lalu lintas ke IP publik ini dengan port 80 dan 443.
Perintah Azure CLI berikut ini dapat membantu Anda mendapatkan IP publik ingress:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Sumber | Alamat IP sumber/rentang CIDR | Protokol | Pelabuhan |
|---|---|---|---|
| Alamat IP | <Public IP retrieved from above command> |
TCP | 80 |
| Alamat IP | <Public IP retrieved from above command> |
TCP | 443 |