你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 NSG 限制发往 HDInsight on AKS 的流量
重要
此功能目前以预览版提供。 Microsoft Azure 预览版的补充使用条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的更多法律条款。 有关此特定预览版的信息,请参阅 Azure HDInsight on AKS 预览版信息。 如有疑问或功能建议,请在 AskHDInsight 上提交请求并附上详细信息,并关注我们以获取 Azure HDInsight Community 的更多更新。
HDInsight on AKS 依赖于 AKS 出站依赖项,并且完全为它们定义了 FQDN,而没有定义静态地址。 缺乏静态 IP 地址意味着无法使用网络安全组 (NSG) 通过 IP 锁定来自群集的出站流量。
如果你仍然希望使用 NSG 来保护流量,则需要在 NSG 中配置以下规则,以进行粗粒度控制。
出站安全规则(出口流量)
常见流量
| 目标 | 目标终结点 | 协议 | 端口 |
|---|---|---|---|
| 服务标记 | AzureCloud.<Region> |
UDP | 1194 |
| 服务标记 | AzureCloud.<Region> |
TCP | 9000 |
| 任意 | * | TCP | 443, 80 |
群集特定的流量
本部分概述了企业可以应用的群集特定流量。
Trino
| 目标 | 目标终结点 | 协议 | 端口 |
|---|---|---|---|
| 任意 | * | TCP | 1433 |
| 服务标记 | Sql.<Region> |
TCP | 11000-11999 |
Spark
| 目标 | 目标终结点 | 协议 | 端口 |
|---|---|---|---|
| 任意 | * | TCP | 1433 |
| 服务标记 | Sql.<Region> |
TCP | 11000-11999 |
| 服务标记 | 存储。<Region> |
TCP | 445 |
Apache Flink
无
入站安全规则(入口流量)
创建群集时,也会创建某些入口公共 IP。 若要允许将请求发送到群集,需要将通过端口 80 和 443 发往这些公共 IP 的流量加入允许列表。
以下 Azure CLI 命令可帮助你获取入口公共 IP:
aksManagedResourceGroup="az rest --uri https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.HDInsight/clusterpools/{clusterPoolName}\?api-version\=2023-06-01-preview --query properties.managedResourceGroupName -o tsv --query properties.aksManagedResourceGroupName -o tsv"
az network public-ip list --resource-group $aksManagedResourceGroup --query "[?starts_with(name, 'kubernetes')].{Name:name, IngressPublicIP:ipAddress}" --output table
| 源 | 源 IP 地址/CIDR 范围 | 协议 | 端口 |
|---|---|---|---|
| IP 地址 | <Public IP retrieved from above command> |
TCP | 80 |
| IP 地址 | <Public IP retrieved from above command> |
TCP | 443 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈