Ograniczanie ruchu do usługi HDInsight w usłudze AKS przy użyciu sieciowej grupy zabezpieczeń
Ważne
Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje o tej konkretnej wersji zapoznawczej, zobacz Informacje o wersji zapoznawczej usługi Azure HDInsight w usłudze AKS. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie w usłudze AskHDInsight , aby uzyskać szczegółowe informacje i postępuj zgodnie z nami, aby uzyskać więcej aktualizacji w społeczności usługi Azure HDInsight.
Usługa HDInsight w usłudze AKS korzysta z zależności wychodzących usługi AKS i jest całkowicie zdefiniowana przy użyciu nazw FQDN, które nie mają statycznych adresów za nimi. Brak statycznych adresów IP oznacza, że nie można użyć sieciowych grup zabezpieczeń w celu zablokowania ruchu wychodzącego z klastra przy użyciu adresów IP.
Jeśli nadal wolisz używać sieciowej grupy zabezpieczeń do zabezpieczania ruchu, musisz skonfigurować następujące reguły w sieciowej grupie zabezpieczeń, aby wykonać gruboziarnistą kontrolę.
Dowiedz się , jak utworzyć regułę zabezpieczeń w sieciowej grupie zabezpieczeń.
Reguły zabezpieczeń ruchu wychodzącego (ruch wychodzący)
Typowy ruch
| Element docelowy | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Tag usługi | AzureCloud.<Region> |
UDP | 1194 |
| Tag usługi | AzureCloud.<Region> |
TCP | 9000 |
| Dowolne | * | TCP | 443, 80 |
Ruch specyficzny dla klastra
W tej sekcji opisano ruch specyficzny dla klastra, który może zastosować przedsiębiorstwo.
Trino
| Element docelowy | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Dowolne | * | TCP | 1433 |
| Tag usługi | Sql.<Region> |
TCP | 11000-11999 |
platforma Spark
| Element docelowy | Docelowy punkt końcowy | Protokół | Port |
|---|---|---|---|
| Dowolne | * | TCP | 1433 |
| Tag usługi | Sql.<Region> |
TCP | 11000-11999 |
| Tag usługi | Magazynu.<Region> |
TCP | 445 |
Apache Flink
Brak
Reguły zabezpieczeń dla ruchu przychodzącego (ruch przychodzący)
Po utworzeniu klastrów niektóre publiczne adresy IP ruchu przychodzącego również zostaną utworzone. Aby zezwolić na wysyłanie żądań do klastra, należy zezwolić na listę ruchu do tych publicznych adresów IP z portem 80 i 443.
Następujące polecenie interfejsu wiersza polecenia platformy Azure może ułatwić uzyskanie publicznego adresu IP ruchu przychodzącego:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Źródła | Źródłowe adresy IP/zakresy CIDR | Protokół | Portu |
|---|---|---|---|
| Adresy IP | <Public IP retrieved from above command> |
TCP | 80 |
| Adresy IP | <Public IP retrieved from above command> |
TCP | 443 |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla