使用 NSG 限制 AKS 上 HDInsight 的流量
重要
此功能目前為預覽功能。 適用於 Microsoft Azure 預覽版的補充使用規定包含適用於 Beta 版、預覽版或尚未發行至正式運作之 Azure 功能的更合法條款。 如需此特定預覽的相關信息,請參閱 AKS 預覽資訊的 Azure HDInsight。 如需問題或功能建議,請在 AskHDInsight 上提交要求,並提供詳細數據,並遵循我們在 Azure HDInsight 社群上取得更多更新。
AKS 上的 HDInsight 依賴 AKS 輸出相依性,而且完全使用 FQDN 來定義,FQDN 後面沒有靜態位址。 缺少靜態 IP 位址表示無法使用網路安全組 (NSG) 來鎖定來自叢集的輸出流量。
如果您仍然想要使用 NSG 來保護流量,則必須在 NSG 中設定下列規則,以執行粗略的控制。
瞭解如何 在 NSG 中建立安全性規則。
輸出安全性規則 (輸出流量)
常見流量
| Destination | 目的地端點 | 通訊協定 | 連接埠 |
|---|---|---|---|
| 服務標籤 | AzureCloud。<Region> |
UDP | 1194 |
| 服務標籤 | AzureCloud。<Region> |
TCP | 9000 |
| 任意 | * | TCP | 443、80 |
叢集特定流量
本節概述企業可以套用的叢集特定流量。
Trino
| Destination | 目的地端點 | 通訊協定 | Port |
|---|---|---|---|
| 任意 | * | TCP | 1433 |
| 服務標籤 | Sql。<Region> |
TCP | 11000-11999 |
Spark
| Destination | 目的地端點 | 通訊協定 | Port |
|---|---|---|---|
| 任意 | * | TCP | 1433 |
| 服務標籤 | Sql。<Region> |
TCP | 11000-11999 |
| 服務標籤 | 儲存體。<Region> |
TCP | 445 |
Apache Flink
無
輸入安全性規則 (輸入流量)
建立叢集時,也會建立特定的輸入公用IP。 若要允許將要求傳送至叢集,您必須允許使用埠 80 和 443 來列出這些公用 IP 的流量。
下列 Azure CLI 命令可協助您取得輸入公用 IP:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| 源 | 來源IP位址/CIDR 範圍 | 協定 | 連接埠 |
|---|---|---|---|
| IP 位址 | <Public IP retrieved from above command> |
Tcp | 80 |
| IP 位址 | <Public IP retrieved from above command> |
Tcp | 443 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應