Usar NSG para restringir o tráfego ao HDInsight no AKS
O HDInsight no AKS depende das dependências de saída do AKS, e elas são totalmente definidas com FQDNs, que não têm endereços estáticos. A falta de endereços IP estáticos significa que não é possível usar grupos de segurança de rede (NSGs) para bloquear o tráfego de saída do cluster usando IPs.
Se você ainda preferir usar um NSG para proteger o tráfego, será necessário configurar as regras a seguir no NSG para fazer um controle de granularidade alta.
Saiba como criar uma regra de segurança no NSG.
Regras de segurança de saída (tráfego de saída)
Tráfego comum
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Marca de serviço | AzureCloud.<Region> |
UDP | 1194 |
| Marca de serviço | AzureCloud.<Region> |
TCP | 9000 |
| Qualquer | * | TCP | 443, 80 |
Tráfego específico do cluster
Esta seção descreve o tráfego específico do cluster que uma empresa pode aplicar.
Trino
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Marca de serviço | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Marca de serviço | Sql.<Region> |
TCP | 11000-11999 |
| Marca de serviço | Storage.<Region> |
TCP | 445 |
Apache Flink
Nenhum
Regras de segurança de entrada (tráfego de entrada)
Quando os clusters são criados, determinados IPs públicos de entrada também são criados. Para permitir que as solicitações sejam enviadas para o cluster, você precisa permitir a lista de tráfego para esses IPs públicos com as portas 80 e 443.
O seguinte comando da CLI do Azure pode ajudá-lo a obter o IP público de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fonte | Endereços IP de origem/intervalos CIDR | Protocolo | Porta |
|---|---|---|---|
| Endereços IP | <Public IP retrieved from above command> |
TCP | 80 |
| Endereços IP | <Public IP retrieved from above command> |
TCP | 443 |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de