使用 NSG 限制對 AKS 上 HDInsight 的流量
AKS 上的 HDInsight 依賴 AKS 輸出相依性,而且會使用 FQDN 以完整定義這些相依性,其背後並沒有靜態位址。 缺少靜態 IP 位址表示無法使用網路安全性群組 (NSG),來鎖定使用 IP 來自叢集的輸出流量。
如果您仍然想要使用 NSG 來保護流量,則必須在 NSG 中設定下列規則,以執行粗略的控制。
輸出安全性規則 (輸出流量)
常見流量
| Destination | 目的地端點 | 通訊協定 | Port |
|---|---|---|---|
| 服務標籤 | AzureCloud.<Region> |
UDP | 1194 |
| 服務標籤 | AzureCloud.<Region> |
TCP | 9000 |
| 任意 | * | TCP | 443、80 |
叢集特定流量
本節概述企業可以運用的叢集特定流量。
Trino
| Destination | 目的地端點 | 通訊協定 | Port |
|---|---|---|---|
| 任意 | * | TCP | 1433 |
| 服務標籤 | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destination | 目的地端點 | 通訊協定 | Port |
|---|---|---|---|
| 任意 | * | TCP | 1433 |
| 服務標籤 | Sql.<Region> |
TCP | 11000-11999 |
| 服務標籤 | Storage.<Region> |
TCP | 445 |
Apache Flink
無
輸入安全性規則 (輸入流量)
建立叢集時,也會建立特定的輸入公用 IP。 若要允許將要求傳送至叢集,您必須將這些使用連接埠 80 和 443 的公用 IP 流量加入允許清單。
下列 Azure CLI 命令可協助您取得輸入公用 IP:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| 來源 | 來源 IP 位址/CIDR 範圍 | 通訊協定 | 連接埠 |
|---|---|---|---|
| IP 位址 | <Public IP retrieved from above command> |
TCP | 80 |
| IP 位址 | <Public IP retrieved from above command> |
TCP | 443 |
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: