Nödvändig utgående trafik för HDInsight på AKS
Kommentar
Vi drar tillbaka Azure HDInsight på AKS den 31 januari 2025. Före den 31 januari 2025 måste du migrera dina arbetsbelastningar till Microsoft Fabric eller en motsvarande Azure-produkt för att undvika plötsliga uppsägningar av dina arbetsbelastningar. Återstående kluster i din prenumeration stoppas och tas bort från värden.
Endast grundläggande stöd kommer att vara tillgängligt fram till datumet för pensionering.
Viktigt!
Den här funktionen finns i förhandsgranskning. De kompletterande användningsvillkoren för Förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. Om du vill ha frågor eller funktionsförslag skickar du en begäran på AskHDInsight med informationen och följer oss för fler uppdateringar i Azure HDInsight Community.
Kommentar
HDInsight på AKS använder Azure CNI Overlay-nätverksmodell som standard. Mer information finns i Azure CNI Overlay-nätverk.
Den här artikeln beskriver nätverksinformationen för att hantera nätverksprinciperna i företaget och göra nödvändiga ändringar i nätverkssäkerhetsgrupperna (NSG:er) för att HDInsight ska fungera smidigt i AKS.
Om du använder brandväggen för att styra utgående trafik till HDInsight i AKS-klustret måste du se till att klustret kan kommunicera med kritiska Azure-tjänster. Vissa av säkerhetsreglerna för dessa tjänster är regionspecifika, och vissa av dem gäller för alla Azure-regioner.
Du måste konfigurera följande nätverks- och programsäkerhetsregler i brandväggen för att tillåta utgående trafik.
Vanlig trafik
| Typ | Målslutpunkt | Protokoll | Port | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| ** ServiceTag | AzureCloud.<Region> |
UDP | 1194 | Nätverkssäkerhetsregel | Tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
| ** ServiceTag | AzureCloud.<Region> |
TCP | 9 000 | Nätverkssäkerhetsregel | Tunnelbaserad säker kommunikation mellan noderna och kontrollplanet. |
| FQDN-tagg | AzureKubernetesService | HTTPS | 443 | Programsäkerhetsregel | Krävs av AKS-tjänsten. |
| Service Tag | AzureMonitor | TCP | 443 | Nätverkssäkerhetsregel | Krävs för integrering med Azure Monitor. |
| FQDN | hiloprodrpacr00.azurecr.io | HTTPS | 443 | Programsäkerhetsregel | Laddar ned metadatainformation för Docker-avbildningen för installation av HDInsight på AKS och övervakning. |
| FQDN | *.blob.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning och installation av HDInsight på AKS. |
| FQDN | graph.microsoft.com | HTTPS | 443 | Programsäkerhetsregel | Autentisering. |
| FQDN | *.servicebus.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning. |
| FQDN | *.table.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning. |
| FQDN | gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Övervakning. |
| **FQDN | API Server FQDN (tillgängligt när AKS-klustret har skapats) | TCP | 443 | Nätverkssäkerhetsregel | Krävs eftersom poddar/distributioner som körs använder den för att komma åt API-servern. Du kan hämta den här informationen från AKS-klustret som körs bakom klusterpoolen. Mer information finns i hur du hämtar API Server FQDN med hjälp av Azure Portal. |
Kommentar
** Den här konfigurationen krävs inte om du aktiverar privat AKS.
Klusterspecifik trafik
I avsnittet nedan beskrivs all specifik nätverkstrafik, som en klusterform kräver, för att hjälpa företag att planera och uppdatera nätverksreglerna i enlighet med detta.
Trino
| Typ | Målslutpunkt | Protokoll | Port | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Krävs om Hive är aktiverat. Det är användarens eget lagringskonto, till exempel contosottss.dfs.core.windows.net |
| FQDN | *.database.windows.net | mysql | 1433 | Programsäkerhetsregel | Krävs om Hive är aktiverat. Det är användarens egen SQL-server, till exempel contososqlserver.database.windows.net |
| Service Tag | SQL.<Region> |
TCP | 11000–11999 | Nätverkssäkerhetsregel | Krävs om Hive är aktiverat. Det används för att ansluta till SQL Server. Vi rekommenderar att du tillåter utgående kommunikation från klienten till alla Azure SQL IP-adresser i regionen på portar mellan 11000 och 11999. Använd tjänsttaggar för SQL för att göra den här processen enklare att hantera. När du använder omdirigeringsanslutningsprincipen läser du Azure IP-intervall och tjänsttaggar – Offentligt moln för en lista över din regions IP-adresser som ska tillåtas. |
Spark
| Typ | Målslutpunkt | Protokoll | Port | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net | HTTPS | 443 | Programsäkerhetsregel | Spark Azure Data Lake Storage Gen2. Det är användarens lagringskonto: till exempel contosottss.dfs.core.windows.net |
| Service Tag | Lagring.<Region> |
TCP | 445 | Nätverkssäkerhetsregel | Använda SMB-protokollet för att ansluta till Azure File |
| FQDN | *.database.windows.net | mysql | 1433 | Programsäkerhetsregel | Krävs om Hive är aktiverat. Det är användarens egen SQL-server, till exempel contososqlserver.database.windows.net |
| Service Tag | SQL.<Region> |
TCP | 11000–11999 | Nätverkssäkerhetsregel | Krävs om Hive är aktiverat. Den används för att ansluta till SQL Server. Vi rekommenderar att du tillåter utgående kommunikation från klienten till alla Azure SQL IP-adresser i regionen på portar mellan 11000 och 11999. Använd tjänsttaggar för SQL för att göra den här processen enklare att hantera. När du använder omdirigeringsanslutningsprincipen läser du Azure IP-intervall och tjänsttaggar – Offentligt moln för en lista över din regions IP-adresser som ska tillåtas. |
Apache Flink
| Typ | Målslutpunkt | Protokoll | Port | Regeltyp för Azure Firewall | Använd |
|---|---|---|---|---|---|
| FQDN | *.dfs.core.windows.net |
HTTPS | 443 | Programsäkerhetsregel | Flink Azure Data Lake Storage Gens. Det är användarens lagringskonto: till exempel contosottss.dfs.core.windows.net |