分享方式:


使用 NSG 限制對 AKS 上 HDInsight 的流量

注意

AKS 上的 Azure HDInsight 將於 2025 年 1 月 31 日退場。 請於 2025 年 1 月 31 日之前,將工作負載移轉至 Microsoft Fabric 或對等的 Azure 產品,以免工作負載突然終止。 訂用帳戶中剩餘的叢集將會停止,並會從主機移除。

在淘汰日期之前,只有基本支援可用。

重要

此功能目前為預覽功能。 Microsoft Azure 預覽版增補使用規定包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。 若需此特定預覽版的相關資訊,請參閱 Azure HDInsight on AKS 預覽版資訊。 如有問題或功能建議,請在 AskHDInsight 上提交要求並附上詳細資料,並且在 Azure HDInsight 社群上追蹤我們以獲得更多更新資訊。

AKS 上的 HDInsight 依賴 AKS 輸出相依性,而且會使用 FQDN 以完整定義這些相依性,其背後並沒有靜態位址。 缺少靜態 IP 位址表示無法使用網路安全性群組 (NSG),來鎖定使用 IP 來自叢集的輸出流量。

如果您仍然想要使用 NSG 來保護流量,則必須在 NSG 中設定下列規則,以執行粗略的控制。

了解如何在 NSG 建立安全性規則

輸出安全性規則 (輸出流量)

常見流量

Destination 目的地端點 通訊協定 Port
服務標籤 AzureCloud.<Region> UDP 1194
服務標籤 AzureCloud.<Region> TCP 9000
任意 * TCP 443、80

叢集特定流量

本節概述企業可以運用的叢集特定流量。

Trino

Destination 目的地端點 通訊協定 Port
任意 * TCP 1433
服務標籤 Sql.<Region> TCP 11000-11999

Spark

Destination 目的地端點 通訊協定 Port
任意 * TCP 1433
服務標籤 Sql.<Region> TCP 11000-11999
服務標籤 Storage.<Region> TCP 445

輸入安全性規則 (輸入流量)

建立叢集時,也會建立特定的輸入公用 IP。 若要允許將要求傳送至叢集,您必須將這些使用連接埠 80 和 443 的公用 IP 流量加入允許清單。

下列 Azure CLI 命令可協助您取得輸入公用 IP:

aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"

az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
來源 來源 IP 位址/CIDR 範圍 通訊協定 連接埠
IP 位址 <Public IP retrieved from above command>  TCP 80
IP 位址 <Public IP retrieved from above command>  TCP 443