Använda NSG för att begränsa trafik till HDInsight på AKS
Viktigt!
Den här funktionen finns i förhandsgranskning. De kompletterande användningsvillkoren för Förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. Om du vill ha frågor eller funktionsförslag skickar du en begäran på AskHDInsight med informationen och följer oss för fler uppdateringar i Azure HDInsight Community.
HDInsight på AKS förlitar sig på utgående AKS-beroenden och de definieras helt med FQDN:er, som inte har statiska adresser bakom sig. Bristen på statiska IP-adresser innebär att man inte kan använda nätverkssäkerhetsgrupper (NSG:er) för att låsa utgående trafik från klustret med ip-adresser.
Om du fortfarande föredrar att använda NSG för att skydda din trafik måste du konfigurera följande regler i NSG för att göra en grov kornig kontroll.
Lär dig hur du skapar en säkerhetsregel i NSG.
Utgående säkerhetsregler (utgående trafik)
Vanlig trafik
Mål | Målslutpunkt | Protokoll | Port |
---|---|---|---|
Service Tag | AzureCloud.<Region> |
UDP | 1194 |
Service Tag | AzureCloud.<Region> |
TCP | 9 000 |
Alla | * | TCP | 443, 80 |
Klusterspecifik trafik
I det här avsnittet beskrivs klusterspecifik trafik som ett företag kan använda.
Trino
Mål | Målslutpunkt | Protokoll | Port |
---|---|---|---|
Alla | * | TCP | 1433 |
Service Tag | SQL.<Region> |
TCP | 11000–11999 |
Spark
Mål | Målslutpunkt | Protokoll | Port |
---|---|---|---|
Alla | * | TCP | 1433 |
Service Tag | SQL.<Region> |
TCP | 11000–11999 |
Service Tag | Lagring.<Region> |
TCP | 445 |
Apache Flink
Ingen
Inkommande säkerhetsregler (inkommande trafik)
När kluster skapas skapas även vissa inkommande offentliga IP-adresser. Om du vill tillåta att begäranden skickas till klustret måste du tillåtalistning av trafiken till dessa offentliga IP-adresser med port 80 och 443.
Följande Azure CLI-kommando kan hjälpa dig att hämta den offentliga IP-adressen för inkommande:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
Källa | Källans IP-adresser/CIDR-intervall | Protokoll | Hamn |
---|---|---|---|
IP-adresser | <Public IP retrieved from above command> |
TCP | 80 |
IP-adresser | <Public IP retrieved from above command> |
TCP | 443 |