Wymagany ruch wychodzący dla usługi HDInsight w usłudze AKS
Uwaga
Wycofamy usługę Azure HDInsight w usłudze AKS 31 stycznia 2025 r. Przed 31 stycznia 2025 r. należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure, aby uniknąć nagłego zakończenia obciążeń. Pozostałe klastry w ramach subskrypcji zostaną zatrzymane i usunięte z hosta.
Tylko podstawowa pomoc techniczna będzie dostępna do daty wycofania.
Ważne
Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje o tej konkretnej wersji zapoznawczej, zobacz Informacje o wersji zapoznawczej usługi Azure HDInsight w usłudze AKS. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie w usłudze AskHDInsight , aby uzyskać szczegółowe informacje i postępuj zgodnie z nami, aby uzyskać więcej aktualizacji w społeczności usługi Azure HDInsight.
Uwaga
Usługa HDInsight w usłudze AKS domyślnie używa modelu sieci nakładki usługi Azure CNI. Aby uzyskać więcej informacji, zobacz Sieć nakładki usługi Azure CNI.
W tym artykule opisano informacje dotyczące sieci ułatwiające zarządzanie zasadami sieciowymi w przedsiębiorstwie i wprowadzanie niezbędnych zmian w sieciowych grupach zabezpieczeń w celu zapewnienia bezproblemowego funkcjonowania usługi HDInsight w usłudze AKS.
Jeśli używasz zapory do kontrolowania ruchu wychodzącego do klastra usługi HDInsight w usłudze AKS, upewnij się, że klaster może komunikować się z krytycznymi usługami platformy Azure. Niektóre reguły zabezpieczeń dla tych usług są specyficzne dla regionu, a niektóre z nich dotyczą wszystkich regionów świadczenia usługi Azure.
Aby zezwolić na ruch wychodzący, należy skonfigurować następujące reguły zabezpieczeń sieci i aplikacji w zaporze.
Typowy ruch
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Używanie |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Reguła zabezpieczeń sieci | Tunelowana bezpieczna komunikacja między węzłami a płaszczyzną sterowania. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | Reguła zabezpieczeń sieci | Tunelowana bezpieczna komunikacja między węzłami a płaszczyzną sterowania. |
| FQDN Tag | AzureKubernetesService | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Wymagane przez usługę AKS. |
| Tag usługi | AzureMonitor | TCP | 443 | Reguła zabezpieczeń sieci | Wymagana do integracji z usługą Azure Monitor. |
| Nazwa FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Pobiera informacje o metadanych obrazu platformy Docker w celu skonfigurowania usługi HDInsight w usłudze AKS i monitorowania. |
| Nazwa FQDN | *.blob.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie i konfigurowanie usługi HDInsight w usłudze AKS. |
| Nazwa FQDN | graph.microsoft.com | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Uwierzytelnianie. |
| Nazwa FQDN | *.servicebus.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie. |
| Nazwa FQDN | *.table.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie. |
| Nazwa FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Monitorowanie. |
| **FQDN | Nazwa FQDN serwera API (dostępna po utworzeniu klastra usługi AKS) | TCP | 443 | Reguła zabezpieczeń sieci | Wymagane jako uruchomione zasobniki/wdrożenia używają go do uzyskiwania dostępu do serwera interfejsu API. Te informacje można uzyskać z klastra usługi AKS uruchomionego za pulą klastrów. Aby uzyskać więcej informacji, zobacz jak uzyskać nazwę FQDN serwera interfejsu API przy użyciu witryny Azure Portal. |
Uwaga
** Ta konfiguracja nie jest wymagana, jeśli włączysz prywatną usługę AKS.
Ruch specyficzny dla klastra
W poniższej sekcji opisano dowolny konkretny ruch sieciowy, którego wymaga kształt klastra, aby pomóc przedsiębiorstwom odpowiednio zaplanować i zaktualizować reguły sieci.
Trino
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Używanie |
|---|---|---|---|---|---|
| Nazwa FQDN | *.dfs.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Wymagane, jeśli program Hive jest włączony. Jest to własne konto magazynu użytkownika, takie jak contosottss.dfs.core.windows.net |
| Nazwa FQDN | *.database.windows.net | mysql | 1433 | Reguła zabezpieczeń aplikacji | Wymagane, jeśli program Hive jest włączony. Jest to własny serwer SQL użytkownika, taki jak contososqlserver.database.windows.net |
| Tag usługi | SQL.<Region> |
TCP | 11000-11999 | Reguła zabezpieczeń sieci | Wymagane, jeśli program Hive jest włączony. Jest on używany podczas nawiązywania połączenia z serwerem SQL. Zaleca się zezwolenie na komunikację wychodzącą od klienta do wszystkich adresów IP usługi Azure SQL w regionie na portach z zakresu od 11000 do 11999. Użyj tagów usługi dla języka SQL, aby ułatwić zarządzanie tym procesem. W przypadku korzystania z zasad połączenia przekierowania zapoznaj się z tematem Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna, aby uzyskać listę dozwolonych adresów IP twojego regionu. |
platforma Spark
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Używanie |
|---|---|---|---|---|---|
| Nazwa FQDN | *.dfs.core.windows.net | HTTPS | 443 | Reguła zabezpieczeń aplikacji | Spark Azure Data Lake Storage Gen2. To konto magazynu użytkownika: takie jak contosottss.dfs.core.windows.net |
| Tag usługi | Składowanie.<Region> |
TCP | 445 | Reguła zabezpieczeń sieci | Nawiązywanie połączenia z usługą Azure File przy użyciu protokołu SMB |
| Nazwa FQDN | *.database.windows.net | mysql | 1433 | Reguła zabezpieczeń aplikacji | Wymagane, jeśli program Hive jest włączony. Jest to własny serwer SQL użytkownika, taki jak contososqlserver.database.windows.net |
| Tag usługi | SQL.<Region> |
TCP | 11000-11999 | Reguła zabezpieczeń sieci | Wymagane, jeśli program Hive jest włączony. Służy do nawiązywania połączenia z serwerem SQL. Zaleca się zezwolenie na komunikację wychodzącą od klienta do wszystkich adresów IP usługi Azure SQL w regionie na portach z zakresu od 11000 do 11999. Użyj tagów usługi dla języka SQL, aby ułatwić zarządzanie tym procesem. W przypadku korzystania z zasad połączenia przekierowania zapoznaj się z tematem Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna, aby uzyskać listę dozwolonych adresów IP twojego regionu. |
Apache Flink
| Typ | Docelowy punkt końcowy | Protokół | Port | Typ reguły usługi Azure Firewall | Używanie |
|---|---|---|---|---|---|
| Nazwa FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Reguła zabezpieczeń aplikacji | Flink Azure Data Lake Storage Gens. To konto magazynu użytkownika: takie jak contosottss.dfs.core.windows.net |
Następne kroki
- Jak używać zapory do kontrolowania ruchu wychodzącego i stosowania reguł.
- Jak ograniczyć ruch przy użyciu sieciowej grupy zabezpieczeń.