Usar NSG para restringir o tráfego ao HDInsight no AKS
Observação
Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.
Somente o suporte básico estará disponível até a data de desativação.
Importante
Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. Caso tenha perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.
O HDInsight no AKS depende das dependências de saída do AKS, e elas são totalmente definidas com FQDNs, que não têm endereços estáticos. A falta de endereços IP estáticos significa que não é possível usar grupos de segurança de rede (NSGs) para bloquear o tráfego de saída do cluster usando IPs.
Se você ainda preferir usar um NSG para proteger o tráfego, será necessário configurar as regras a seguir no NSG para fazer um controle de granularidade alta.
Saiba como criar uma regra de segurança no NSG.
Regras de segurança de saída (tráfego de saída)
Tráfego comum
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Marca de serviço | AzureCloud.<Region> |
UDP | 1194 |
| Marca de serviço | AzureCloud.<Region> |
TCP | 9000 |
| Qualquer | * | TCP | 443, 80 |
Tráfego específico do cluster
Esta seção descreve o tráfego específico do cluster que uma empresa pode aplicar.
Trino
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Marca de serviço | Sql.<Region> |
TCP | 11000-11999 |
Spark
| Destino | Ponto de extremidade de destino | Protocolo | Porta |
|---|---|---|---|
| Qualquer | * | TCP | 1433 |
| Marca de serviço | Sql.<Region> |
TCP | 11000-11999 |
| Marca de serviço | Storage.<Region> |
TCP | 445 |
Apache Flink
Nenhum
Regras de segurança de entrada (tráfego de entrada)
Quando os clusters são criados, determinados IPs públicos de entrada também são criados. Para permitir que as solicitações sejam enviadas para o cluster, você precisa permitir a lista de tráfego para esses IPs públicos com as portas 80 e 443.
O seguinte comando da CLI do Azure pode ajudá-lo a obter o IP público de entrada:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| Fonte | Endereços IP de origem/intervalos CIDR | Protocolo | Porta |
|---|---|---|---|
| Endereços IP | <Public IP retrieved from above command> |
TCP | 80 |
| Endereços IP | <Public IP retrieved from above command> |
TCP | 443 |