共用方式為


HDInsight on AKS 所需的輸出流量

注意

AKS 上的 Azure HDInsight 將於 2025 年 1 月 31 日退場。 請於 2025 年 1 月 31 日之前,將工作負載移轉至 Microsoft Fabric 或對等的 Azure 產品,以免工作負載突然終止。 訂用帳戶中剩餘的叢集將會停止,並會從主機移除。

在淘汰日期之前,只有基本支援可用。

重要

此功能目前為預覽功能。 Microsoft Azure 預覽版增補使用規定包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。 若需此特定預覽版的相關資訊,請參閱 Azure HDInsight on AKS 預覽版資訊。 如有問題或功能建議,請在 AskHDInsight 上提交要求並附上詳細資料,並且在 Azure HDInsight 社群上追蹤我們以獲得更多更新資訊。

注意

HDInsight on AKS 預設會使用 Azure CNI 重疊網路模型。 如需詳細資訊,請參閱 Azure CNI 重疊網路

本文概述網路資訊,以協助管理企業中的網路原則,並針對網路安全性群組 (NSG) 進行必要的變更,以讓 HDInsight on AKS 順利運作。

如果您使用防火牆來控制對 HDInsight on AKS 叢集的輸出流量,您必須確保叢集可以與重要的 Azure 服務通訊。 這些服務的一些安全性規則是區域特有的,其中一些則適用於所有 Azure 區域。

您必須在防火牆中設定下列網路和應用程式安全性規則,以允許輸出流量。

常見流量

類型 目的地端點 通訊協定 Port Azure 防火牆規則類型 使用
** ServiceTag AzureCloud.<Region> UDP 1194 網路安全性規則 節點與控制平面之間的通道安全通訊。
** ServiceTag AzureCloud.<Region> TCP 9000 網路安全性規則 節點與控制平面之間的通道安全通訊。
FQDN 標籤 AzureKubernetesService HTTPS 443 應用程式安全性規則 AKS 服務所需。
服務標籤 AzureMonitor TCP 443 網路安全性規則 與 Azure 監視器整合所需。
FQDN hiloprodrpacr00.azurecr.io HTTPS 443 應用程式安全性規則 下載 Docker 映像的中繼資料資訊,用於設定 HDInsight on AKS 和監視。
FQDN *.blob.core.windows.net HTTPS 443 應用程式安全性規則 HDInsight on AKS 的監視和設定。
FQDN graph.microsoft.com HTTPS 443 應用程式安全性規則 驗證。
FQDN *.servicebus.windows.net HTTPS 443 應用程式安全性規則 監視。
FQDN *.table.core.windows.net HTTPS 443 應用程式安全性規則 監視。
FQDN gcs.prod.monitoring.core.windows.net HTTPS 443 應用程式安全性規則 監視。
** FQDN API 伺服器 FQDN (一旦建立 AKS 叢集即可使用) TCP 443 網路安全性規則 當執行中的 Pod/部署使用它來存取 API 伺服器時為必要。 您可以從在叢集集區後執行的 AKS 叢集取得此資訊。 如需詳細資訊,請參閱如何使用 Azure 入口網站取得 API 伺服器 FQDN

注意

** 如果您啟用私人 AKS,則不需要此設定。

叢集特定流量

下一節概述叢集形狀需要的任何特定網路流量,以協助企業據此規劃和更新網路規則。

Trino

類型 目的地端點 通訊協定 Port Azure 防火牆規則類型 使用
FQDN *.dfs.core.windows.net HTTPS 443 應用程式安全性規則 如果已啟用 Hive,則為必要。 它是使用者自己的儲存體帳戶,例如 contosottss.dfs.core.windows.net
FQDN *.database.windows.net mysql 1433 應用程式安全性規則 如果已啟用 Hive,則為必要。 它是使用者自己的 SQL Server,例如 contososqlserver.database.windows.net
服務標籤 Sql.<Region> TCP 11000-11999 網路安全性規則 如果已啟用 Hive,則為必要。 它用於連線到 SQL Server。 建議允許從用戶端到區域中所有 Azure SQL IP 位址的輸出通訊 (範圍 11000 到 11999 的連接埠上)。 使用 SQL 的服務標籤,使此程序更容易管理。 使用重新導向連線原則時,請參閱 Azure IP 範圍和服務標籤 – 公用雲端 (英文),以取得您的區域要允許的 IP 位址清單。

Spark

類型 目的地端點 通訊協定 Port Azure 防火牆規則類型 使用
FQDN *.dfs.core.windows.net HTTPS 443 應用程式安全性規則 Spark Azure Data Lake Storage Gen2。 它是使用者的儲存體帳戶:例如 contosottss.dfs.core.windows.net
服務標籤 Storage.<Region> TCP 445 網路安全性規則 使用 SMB 通訊協定連線到 Azure 檔案
FQDN *.database.windows.net mysql 1433 應用程式安全性規則 如果已啟用 Hive,則為必要。 它是使用者自己的 SQL Server,例如 contososqlserver.database.windows.net
服務標籤 Sql.<Region> TCP 11000-11999 網路安全性規則 如果已啟用 Hive,則為必要。 它會來連線到 SQL Server。 建議允許從用戶端到區域中所有 Azure SQL IP 位址的輸出通訊 (範圍 11000 到 11999 的連接埠上)。 使用 SQL 的服務標籤,使此程序更容易管理。 使用重新導向連線原則時,請參閱 Azure IP 範圍和服務標籤 – 公用雲端 (英文),以取得您的區域要允許的 IP 位址清單。
類型 目的地端點 通訊協定 Port Azure 防火牆規則類型 使用
FQDN *.dfs.core.windows.net HTTPS 443 應用程式安全性規則 Flink Azure Data Lake Storage Gens。 它是使用者的儲存體帳戶:例如 contosottss.dfs.core.windows.net

下一步