Usare il gruppo di sicurezza di rete per limitare il traffico a HDInsight nel servizio Azure Kubernetes
Importante
Questa funzionalità è attualmente disponibile solo in anteprima. Le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali più validi applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale. Per informazioni su questa anteprima specifica, vedere Informazioni sull'anteprima di Azure HDInsight nel servizio Azure Kubernetes. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire microsoft per altri aggiornamenti nella community di Azure HDInsight.
HDInsight nel servizio Azure Kubernetes si basa sulle dipendenze in uscita del servizio Azure Kubernetes e sono completamente definite con FQDN, che non hanno indirizzi statici dietro di essi. La mancanza di indirizzi IP statici significa che non è possibile usare gruppi di sicurezza di rete (NSG) per bloccare il traffico in uscita dal cluster usando indirizzi IP.
Se si preferisce comunque usare un gruppo di sicurezza di rete per proteggere il traffico, è necessario configurare le regole seguenti nel gruppo di sicurezza di rete per eseguire un controllo con granularità grossolana.
Informazioni su come creare una regola di sicurezza nel gruppo di sicurezza di rete.
Regole di sicurezza in uscita (traffico in uscita)
Traffico comune
Destinazione | Endpoint di destinazione | Protocollo | Port |
---|---|---|---|
Tag del servizio | AzureCloud.<Region> |
UDP | 1194 |
Tag del servizio | AzureCloud.<Region> |
TCP | 9000 |
Any | * | TCP | 443, 80 |
Traffico specifico del cluster
Questa sezione descrive il traffico specifico del cluster che un'organizzazione può applicare.
Trino
Destinazione | Endpoint di destinazione | Protocollo | Port |
---|---|---|---|
Any | * | TCP | 1433 |
Tag del servizio | Sql.<Region> |
TCP | 11000-11999 |
Spark
Destinazione | Endpoint di destinazione | Protocollo | Port |
---|---|---|---|
Any | * | TCP | 1433 |
Tag del servizio | Sql.<Region> |
TCP | 11000-11999 |
Tag del servizio | Archiviazione.<Region> |
TCP | 445 |
Apache Flink
None
Regole di sicurezza in ingresso (traffico in ingresso)
Quando vengono creati cluster, vengono creati anche determinati indirizzi IP pubblici in ingresso. Per consentire l'invio delle richieste al cluster, è necessario consentire il traffico a questi indirizzi IP pubblici con la porta 80 e 443.
Il comando seguente dell'interfaccia della riga di comando di Azure consente di ottenere l'indirizzo IP pubblico in ingresso:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
Fonte | Indirizzi IP di origine/intervalli CIDR | Protocollo | Porta |
---|---|---|---|
Indirizzi IP | <Public IP retrieved from above command> |
TCP | 80 |
Indirizzi IP | <Public IP retrieved from above command> |
TCP | 443 |