HDInsight on AKS 所需的輸出流量
重要
此功能目前為預覽功能。 適用於 Microsoft Azure 預覽版的補充使用規定包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的更合法條款。 如需此特定預覽的相關信息,請參閱 AKS 預覽資訊的 Azure HDInsight。 如需問題或功能建議,請在 AskHDInsight 上提交要求,並提供詳細數據,並遵循我們在 Azure HDInsight 社群上取得更多更新。
注意
AKS 上的 HDInsight 預設會使用 Azure CNI 重迭網路模型。 如需詳細資訊,請參閱 Azure CNI 重迭網路功能。
本文概述網路資訊,以協助管理企業中的網路原則,並針對網路安全性群組 (NSG) 進行必要的變更,以讓 HDInsight on AKS 順利運作。
如果您使用防火牆來控制對 HDInsight on AKS 叢集的輸出流量,您必須確保叢集可以與重要的 Azure 服務通訊。 這些服務的一些安全性規則是區域特有的,其中一些則適用於所有 Azure 區域。
您必須在防火牆中設定下列網路和應用程式安全性規則,以允許輸出流量。
常見流量
類型 | 目的地端點 | 通訊協定 | Port | Azure 防火牆規則類型 | 使用 |
---|---|---|---|---|---|
** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | 網路安全性規則 | 節點與控制平面之間的通道安全通訊。 |
** ServiceTag | AzureCloud.<Region> |
TCP | 9000 | 網路安全性規則 | 節點與控制平面之間的通道安全通訊。 |
FQDN 標籤 | AzureKubernetesService | HTTPS | 443 | 應用程式安全性規則 | AKS 服務所需。 |
服務標籤 | AzureMonitor | TCP | 443 | 網路安全性規則 | 與 Azure 監視器整合所需。 |
FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | 應用程式安全性規則 | 下載 Docker 映像的中繼資料資訊,用於設定 HDInsight on AKS 和監視。 |
FQDN | *.blob.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | HDInsight on AKS 的監視和設定。 |
FQDN | graph.microsoft.com | HTTPS | 443 | 應用程式安全性規則 | 驗證。 |
FQDN | *.servicebus.windows.net | HTTPS | 443 | 應用程式安全性規則 | 監視。 |
FQDN | *.table.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 監視。 |
FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 監視。 |
**Fqdn | API 伺服器 FQDN (一旦建立 AKS 叢集即可使用) | TCP | 443 | 網路安全性規則 | 當執行中的 Pod/部署使用它來存取 API 伺服器時為必要。 您可以從在叢集集區後執行的 AKS 叢集取得此資訊。 如需詳細資訊,請參閱如何使用 Azure 入口網站取得 API 伺服器 FQDN。 |
注意
** 如果您啟用私人 AKS,則不需要此設定。
叢集特定流量
下一節概述叢集形狀需要的任何特定網路流量,以協助企業據此規劃和更新網路規則。
Trino
類型 | 目的地端點 | 通訊協定 | Port | Azure 防火牆規則類型 | 使用 |
---|---|---|---|---|---|
FQDN | *.dfs.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | 如果已啟用 Hive,則為必要。 它是使用者自己的儲存體帳戶,例如 contosottss.dfs.core.windows.net |
FQDN | *.database.windows.net | mysql | 1433 | 應用程式安全性規則 | 如果已啟用 Hive,則為必要。 它是使用者自己的 SQL Server,例如 contososqlserver.database.windows.net |
服務標籤 | Sql.<Region> |
TCP | 11000-11999 | 網路安全性規則 | 如果已啟用 Hive,則為必要。 它用於連線到 SQL Server。 建議允許從用戶端到區域中所有 Azure SQL IP 位址的輸出通訊 (範圍 11000 到 11999 的連接埠上)。 使用 SQL 的服務標籤,使此程序更容易管理。 使用重新導向連線原則時,請參閱 Azure IP 範圍和服務標籤 – 公用雲端 (英文),以取得您的區域要允許的 IP 位址清單。 |
Spark
類型 | 目的地端點 | 通訊協定 | Port | Azure 防火牆規則類型 | 使用 |
---|---|---|---|---|---|
FQDN | *.dfs.core.windows.net | HTTPS | 443 | 應用程式安全性規則 | Spark Azure Data Lake Storage Gen2。 它是使用者的儲存體帳戶:例如 contosottss.dfs.core.windows.net |
服務標籤 | Storage.<Region> |
TCP | 445 | 網路安全性規則 | 使用 SMB 通訊協定連線到 Azure 檔案 |
FQDN | *.database.windows.net | mysql | 1433 | 應用程式安全性規則 | 如果已啟用 Hive,則為必要。 它是使用者自己的 SQL Server,例如 contososqlserver.database.windows.net |
服務標籤 | Sql.<Region> |
TCP | 11000-11999 | 網路安全性規則 | 如果已啟用 Hive,則為必要。 它會來連線到 SQL Server。 建議允許從用戶端到區域中所有 Azure SQL IP 位址的輸出通訊 (範圍 11000 到 11999 的連接埠上)。 使用 SQL 的服務標籤,使此程序更容易管理。 使用重新導向連線原則時,請參閱 Azure IP 範圍和服務標籤 – 公用雲端 (英文),以取得您的區域要允許的 IP 位址清單。 |
Apache Flink
類型 | 目的地端點 | 通訊協定 | Port | Azure 防火牆規則類型 | 使用 |
---|---|---|---|---|---|
FQDN | *.dfs.core.windows.net |
HTTPS | 443 | 應用程式安全性規則 | Flink Azure Data Lake Storage Gens。 它是使用者的儲存體帳戶:例如 contosottss.dfs.core.windows.net |
下一步
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: