AKS üzerinde HDInsight trafiğini kısıtlamak için NSG kullanma
Önemli
Bu özellik şu anda önizlemededir. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan daha fazla yasal hüküm içerir. Bu belirli önizleme hakkında bilgi için bkz . AKS üzerinde Azure HDInsight önizleme bilgileri. Sorular veya özellik önerileri için lütfen AskHDInsight'ta ayrıntıları içeren bir istek gönderin ve Azure HDInsight Topluluğu hakkında daha fazla güncelleştirme için bizi takip edin.
AKS üzerinde HDInsight, AKS giden bağımlılıklarına dayanır ve bunların tamamı, arkalarında statik adresleri olmayan FQDN'lerle tanımlanır. Statik IP adreslerinin olmaması, IP'leri kullanarak kümeden giden trafiği kilitlemek için Ağ Güvenlik Gruplarını (NSG) kullanamama anlamına gelir.
Trafiğinizin güvenliğini sağlamak için NSG kullanmayı tercih ediyorsanız, daha ayrıntılı bir denetim yapmak için NSG'de aşağıdaki kuralları yapılandırmanız gerekir.
NSG'de güvenlik kuralı oluşturmayı öğrenin.
Giden güvenlik kuralları (Çıkış trafiği)
Yaygın trafik
| Hedef | Hedef Uç Nokta | Protokol | Bağlantı noktası |
|---|---|---|---|
| Hizmet Etiketi | AzureCloud.<Region> |
UDP | 1194 |
| Hizmet Etiketi | AzureCloud.<Region> |
TCP | 9000 |
| Tümü | * | TCP | 443, 80 |
Kümeye özgü trafik
Bu bölümde, bir kuruluşun uygulayabileceği kümeye özgü trafik özetlenmiştir.
Trino
| Hedef | Hedef Uç Nokta | Protokol | Bağlantı noktası |
|---|---|---|---|
| Tümü | * | TCP | 1433 |
| Hizmet Etiketi | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Hedef | Hedef Uç Nokta | Protokol | Bağlantı noktası |
|---|---|---|---|
| Tümü | * | TCP | 1433 |
| Hizmet Etiketi | Sql.<Region> |
TCP | 11000-11999 |
| Hizmet Etiketi | Depolama.<Region> |
TCP | 445 |
Apache Flink
Hiçbiri
Gelen güvenlik kuralları (Giriş trafiği)
Kümeler oluşturulduğunda, belirli giriş genel IP'leri de oluşturulur. İsteklerin kümeye gönderilmesine izin vermek için, 80 ve 443 numaralı bağlantı noktasıyla bu genel IP'lere giden trafiğe izin vermeniz gerekir.
Aşağıdaki Azure CLI komutu giriş genel IP'sini almanıza yardımcı olabilir:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Kaynak | Kaynak IP adresleri/CIDR aralıkları | Protokolü | Bağlantı noktası |
|---|---|---|---|
| IP Adresleri | <Public IP retrieved from above command> |
TCP | 80 |
| IP Adresleri | <Public IP retrieved from above command> |
TCP | 443 |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin