Vereist uitgaand verkeer voor HDInsight in AKS
Notitie
Op 31 januari 2025 wordt Azure HDInsight buiten gebruik gesteld op AKS. Vóór 31 januari 2025 moet u uw workloads migreren naar Microsoft Fabric of een gelijkwaardig Azure-product om te voorkomen dat uw workloads plotseling worden beëindigd. De resterende clusters in uw abonnement worden gestopt en verwijderd van de host.
Alleen basisondersteuning is beschikbaar tot de buitengebruikstellingsdatum.
Belangrijk
Deze functie is momenteel beschikbaar in preview. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews bevatten meer juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet beschikbaar zijn in algemene beschikbaarheid. Zie Azure HDInsight op AKS Preview-informatie voor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight met de details en volgt u ons voor meer updates in de Azure HDInsight-community.
Notitie
HDInsight in AKS maakt standaard gebruik van azure CNI Overlay-netwerkmodel. Zie Azure CNI Overlay-netwerken voor meer informatie.
Dit artikel bevat een overzicht van de netwerkinformatie om het netwerkbeleid bij ondernemingen te beheren en noodzakelijke wijzigingen aan te brengen in de netwerkbeveiligingsgroepen (NSG's) voor een soepele werking van HDInsight in AKS.
Als u firewall gebruikt om uitgaand verkeer naar uw HDInsight op AKS-cluster te beheren, moet u ervoor zorgen dat uw cluster kan communiceren met kritieke Azure-services. Sommige van de beveiligingsregels voor deze services zijn regiospecifiek en sommige hiervan zijn van toepassing op alle Azure-regio's.
U moet de volgende netwerk- en toepassingsbeveiligingsregels in uw firewall configureren om uitgaand verkeer toe te staan.
Algemeen verkeer
| Type | Doeleindpunt | Protocol | Port | Type Azure Firewall-regel | Gebruik |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Netwerkbeveiligingsregel | Beveiligde communicatie met tunneling tussen de knooppunten en het besturingsvlak. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Netwerkbeveiligingsregel | Beveiligde communicatie met tunneling tussen de knooppunten en het besturingsvlak. |
| FQDN-tag | AzureKubernetesService | HTTPS | 443 | Toepassingsbeveiligingsregel | Vereist door de AKS-service. |
| Servicetag | AzureMonitor | TCP | 443 | Netwerkbeveiligingsregel | Vereist voor integratie met Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Toepassingsbeveiligingsregel | Hiermee downloadt u metagegevens van de docker-installatiekopieën voor het instellen van HDInsight op AKS en bewaking. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Bewaking en installatie van HDInsight in AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Toepassingsbeveiligingsregel | Verificatie. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Bewaking. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Bewaking. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Bewaking. |
| **FQDN | API Server FQDN (beschikbaar zodra een AKS-cluster is gemaakt) | TCP | 443 | Netwerkbeveiligingsregel | Vereist als de actieve pods/implementaties deze gebruiken voor toegang tot de API-server. U kunt deze informatie ophalen uit het AKS-cluster dat achter de clustergroep wordt uitgevoerd. Zie voor meer informatie hoe u de FQDN van API Server kunt ophalen met behulp van De Azure-portal. |
Notitie
** Deze configuratie is niet vereist als u privé-AKS inschakelt.
Clusterspecifiek verkeer
In de onderstaande sectie vindt u een overzicht van specifiek netwerkverkeer, dat een clustershape vereist, om ondernemingen te helpen de netwerkregels dienovereenkomstig te plannen en bij te werken.
Trino
| Type | Doeleindpunt | Protocol | Port | Type Azure Firewall-regel | Gebruik |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Vereist als Hive is ingeschakeld. Het is het eigen opslagaccount van de gebruiker, zoals contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Toepassingsbeveiligingsregel | Vereist als Hive is ingeschakeld. Het is de eigen SQL-server van de gebruiker, zoals contososqlserver.database.windows.net |
| Servicetag | SQL.<Region> |
TCP | 11000-11999 | Netwerkbeveiligingsregel | Vereist als Hive is ingeschakeld. Deze wordt gebruikt om verbinding te maken met SQL Server. Het is raadzaam uitgaande communicatie van de client naar alle Azure SQL IP-adressen in de regio toe te staan op poorten in het bereik van 11000 tot 11999. Gebruik de servicetags voor SQL om dit proces eenvoudiger te beheren. Wanneer u het omleidingsverbindingsbeleid gebruikt, raadpleegt u de Azure IP-bereiken en servicetags: openbare cloud voor een lijst met de IP-adressen van uw regio die u wilt toestaan. |
Spark
| Type | Doeleindpunt | Protocol | Port | Type Azure Firewall-regel | Gebruik |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Toepassingsbeveiligingsregel | Spark Azure Data Lake Storage Gen2. Het opslagaccount van de gebruiker: zoals contosottss.dfs.core.windows.net |
| Servicetag | Opslag.<Region> |
TCP | 445 | Netwerkbeveiligingsregel | SMB-protocol gebruiken om verbinding te maken met Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Toepassingsbeveiligingsregel | Vereist als Hive is ingeschakeld. Het is de eigen SQL-server van de gebruiker, zoals contososqlserver.database.windows.net |
| Servicetag | SQL.<Region> |
TCP | 11000-11999 | Netwerkbeveiligingsregel | Vereist als Hive is ingeschakeld. Deze wordt gebruikt om verbinding te maken met SQL Server. Het is raadzaam uitgaande communicatie van de client naar alle Azure SQL IP-adressen in de regio toe te staan op poorten in het bereik van 11000 tot 11999. Gebruik de servicetags voor SQL om dit proces eenvoudiger te beheren. Wanneer u het omleidingsverbindingsbeleid gebruikt, raadpleegt u de Azure IP-bereiken en servicetags: openbare cloud voor een lijst met de IP-adressen van uw regio die u wilt toestaan. |
Apache Flink
| Type | Doeleindpunt | Protocol | Port | Type Azure Firewall-regel | Gebruik |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Toepassingsbeveiligingsregel | Flink Azure Data Lake Storage Gens. Het opslagaccount van de gebruiker: zoals contosottss.dfs.core.windows.net |
Volgende stappen
- Firewall gebruiken om uitgaand verkeer te beheren en regels toe te passen.
- NSG gebruiken om verkeer te beperken.