Erweitern von Azure HDInsight per Azure Virtual NetworkExtend Azure HDInsight using an Azure Virtual Network

Es wird beschrieben, wie Sie HDInsight mit einem Azure Virtual Network verwenden.Learn how to use HDInsight with an Azure Virtual Network. Die Nutzung eines Azure Virtual Network ermöglicht die folgenden Szenarien:Using an Azure Virtual Network enables the following scenarios:

  • Herstellen einer Verbindung mit HDInsight direkt über ein lokales NetzwerkConnecting to HDInsight directly from an on-premises network.

  • Herstellen einer Verbindung für HDInsight mit Datenspeichern in einem Azure Virtual NetworkConnecting HDInsight to data stores in an Azure Virtual network.

  • Direktes Zuweisen von Apache Hadoop-Diensten, die nicht öffentlich über das Internet verfügbar sind.Directly accessing Apache Hadoop services that are not available publicly over the internet. Zum Beispiel Apache Kafka-APIs oder die Apache HBase-Java-API.For example, Apache Kafka APIs or the Apache HBase Java API.

Wichtig

Ab dem 28. Februar 2019 werden die Netzwerkressourcen (wie z.B. Netzwerkadapter, Lastenausgleichsmodule usw.) für in einem virtuellen Netzwerk NEU erstellte Cluster in der gleichen HDInsight-Clusterressourcengruppe bereitgestellt.After Feb 28, 2019, the networking resources (such as NICs, LBs, etc) for NEW clusters created in a VNET will be provisioned in the same HDInsight cluster resource group. Zuvor wurden diese Ressourcen in der Ressourcengruppe des virtuellen Netzwerks bereitgestellt.Previously, these resources were provisioned in the VNET resource group. Für derzeit ausgeführte Cluster und Cluster, die ohne virtuelles Netzwerk erstellt wurden, ändert sich nichts.There is no change to the current running clusters and those clusters created without a VNET.

Voraussetzungen für die Codebeispiele und BeispielePrerequisites for code samples and examples

  • Grundlagen von TCP/IP-Netzwerken.An understanding of TCP/IP networking. Falls Sie nicht mit TCP/IP-Netzwerken vertraut sind, sollten Sie sich an eine Person wenden, die über die entsprechenden Kenntnisse verfügt, bevor Sie Änderungen an Produktionsnetzwerken vornehmen.If you are not familiar with TCP/IP networking, you should partner with someone who is before making modifications to production networks.
  • Wenn Sie PowerShell verwenden, benötigen Sie das AZ-Modul.If using PowerShell, you will need the AZ Module.
  • Wenn Sie die Azure-Befehlszeilenschnittstelle verwenden möchten, diese aber noch nicht installiert haben, lesen Sie Installieren der Azure CLI.If wanting to use Azure CLI and you have not yet installed it, see Install the Azure CLI.

Wichtig

Eine ausführliche Anleitung zum Herstellen einer Verbindung von HDInsight mit Ihrem lokalen Netzwerk mithilfe eines virtuellen Azure-Netzwerks finden Sie im Dokument Verbinden von HDInsight mit Ihrem lokalen Netzwerk.If you are looking for step by step guidance on connecting HDInsight to your on-premises network using an Azure Virtual Network, see the Connect HDInsight to your on-premises network document.

PlanungPlanning

Sie müssen die folgenden Fragen beantworten, wenn Sie die Installation von HDInsight in einem virtuellen Netzwerk planen:The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Müssen Sie HDInsight in einem vorhandenen virtuellen Netzwerk installieren?Do you need to install HDInsight into an existing virtual network? Oder erstellen Sie ein neues Netzwerk?Or are you creating a new network?

    Falls Sie ein vorhandenes virtuelles Netzwerk verwenden, müssen Sie unter Umständen die Netzwerkkonfiguration ändern, bevor Sie HDInsight installieren können.If you are using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. Weitere Informationen finden Sie im Abschnitt Hinzufügen von HDInsight zu einem vorhandenen virtuellen Netzwerk.For more information, see the add HDInsight to an existing virtual network section.

  • Möchten Sie das virtuelle Netzwerk mit HDInsight einem anderen virtuellen Netzwerk oder Ihrem lokalen Netzwerk hinzufügen?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Um Ressourcen auf einfache Weise netzwerkübergreifend verwenden zu können, müssen Sie ggf. ein benutzerdefiniertes DNS erstellen und die DNS-Weiterleitung konfigurieren.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. Weitere Informationen finden Sie im Abschnitt Verbinden von mehreren Netzwerken.For more information, see the connecting multiple networks section.

  • Möchten Sie ein- oder ausgehenden Datenverkehr für HDInsight beschränken oder umleiten?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    HDInsight muss über eine uneingeschränkte Kommunikation mit bestimmten IP-Adressen im Azure-Rechenzentrum verfügen.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Es gibt auch mehrere Ports, für die die Clientkommunikation durch Firewalls zugelassen sein muss.There are also several ports that must be allowed through firewalls for client communication. Weitere Informationen finden Sie im Abschnitt Steuern des Netzwerkdatenverkehrs.For more information, see the controlling network traffic section.

Hinzufügen von HDInsight zu einem vorhandenen virtuellen NetzwerkAdd HDInsight to an existing virtual network

Führen Sie die Schritte in diesem Abschnitt aus, um zu erfahren, wie Sie einen neuen HDInsight-Cluster einem vorhandenen Azure Virtual Network hinzufügen.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Hinweis

Ein vorhandener HDInsight-Cluster kann in einem virtuellen Netzwerk nicht hinzugefügt werden.You cannot add an existing HDInsight cluster into a virtual network.

  1. Verwenden Sie das klassische oder das Resource Manager-Bereitstellungsmodell für das virtuelle Netzwerk?Are you using a classic or Resource Manager deployment model for the virtual network?

    Für HDInsight 3.4 und höher ist ein virtuelles Resource Manager-Netzwerk erforderlich.HDInsight 3.4 and greater requires a Resource Manager virtual network. In früheren Versionen von HDInsight war ein klassisches virtuelles Netzwerk erforderlich.Earlier versions of HDInsight required a classic virtual network.

    Falls Ihr vorhandenes Netzwerk ein klassisches virtuelles Netzwerk ist, müssen Sie ein virtuelles Resource Manager-Netzwerk erstellen und die beiden Netzwerke dann verbinden.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Herstellen einer Verbindung zwischen klassischen VNets und neuen VNetsConnecting classic VNets to new VNets.

    Nach dem Verknüpfen kann die Installation von HDInsight im Resource Manager-Netzwerk mit Ressourcen im klassischen Netzwerk interagieren.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Verwenden Sie die Tunnelerzwingung?Do you use forced tunneling? Die Tunnelerzwingung ist eine Subnetzeinstellung, bei der für ausgehenden Internetdatenverkehr der Umweg über ein Gerät zur Untersuchung und Protokollierung erzwungen wird.Forced tunneling is a subnet setting that forces outbound Internet traffic to a device for inspection and logging. HDInsight weist keine Unterstützung der Tunnelerzwingung auf.HDInsight does not support forced tunneling. Entfernen Sie entweder die Tunnelerzwingung, bevor Sie HDInsight in einem vorhandenen Subnetz bereitstellen, oder erstellen Sie ein neues Subnetz ohne Tunnelerzwingung für HDInsight.Either remove forced tunneling before deploying HDInsight into an existing subnet, or create a new subnet with no forced tunneling for HDInsight.

  3. Verwenden Sie Netzwerksicherheitsgruppen, benutzerdefinierte Routen oder virtuelle Network Appliances, um Datenverkehr einzuschränken, der in das bzw. aus dem virtuellen Netzwerk fließt?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    Als verwalteter Dienst ist für HDInsight der uneingeschränkte Zugriff auf mehrere IP-Adressen im Azure-Rechenzentrum erforderlich.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Aktualisieren Sie alle vorhandenen Netzwerksicherheitsgruppen oder benutzerdefinierten Routen, um die Kommunikation mit diesen IP-Adressen zuzulassen.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    HDInsight hostet mehrere Dienste, für die viele verschiedene Ports verwendet werden.HDInsight hosts multiple services, which use a variety of ports. Verhindern Sie, dass der Datenverkehr für diesen Port blockiert wird.Do not block traffic to these ports. Eine Liste mit Ports, die für Firewalls von virtuellen Geräten zugelassen werden müssen, finden Sie im Abschnitt „Sicherheit“.For a list of ports to allow through virtual appliance firewalls, see the Security section.

    Verwenden Sie die folgenden Azure PowerShell- oder Azure CLI-Befehle, um Ihre vorhandene Sicherheitskonfiguration zu ermitteln:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • NetzwerksicherheitsgruppenNetwork security groups

      Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzNetworkSecurityGroup -ResourceGroupName  "RESOURCEGROUP"
      
      az network nsg list --resource-group RESOURCEGROUP
      

      Weitere Informationen finden Sie im Dokument zur Problembehandlung bei Netzwerksicherheitsgruppen.For more information, see the Troubleshoot network security groups document.

      Wichtig

      Netzwerksicherheitsgruppen-Regeln werden der Reihenfolge nach basierend auf der Regelpriorität angewendet.Network security group rules are applied in order based on rule priority. Die erste Regel, die mit dem Datenverkehrsmuster übereinstimmt, wird angewendet, und auf diesen Datenverkehr werden dann keine anderen Regeln angewendet.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. Sortieren Sie die Regeln von „weniger strikt“ bis „strikt“.Order rules from most permissive to least permissive. Weitere Informationen finden Sie im Dokument Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.For more information, see the Filter network traffic with network security groups document.

    • Benutzerdefinierte RoutenUser-defined routes

      Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzRouteTable -ResourceGroupName "RESOURCEGROUP"
      
      az network route-table list --resource-group RESOURCEGROUP
      

      Weitere Informationen finden Sie im Dokument Problembehandlung bei Routen.For more information, see the Troubleshoot routes document.

  4. Erstellen Sie einen HDInsight-Cluster, und wählen Sie während der Konfiguration die virtuelle Azure-Netzwerk-Instanz aus.Create an HDInsight cluster and select the Azure Virtual Network during configuration. Den Vorgang zur Clustererstellung können Sie anhand der Schritte in den folgenden Dokumenten nachvollziehen:Use the steps in the following documents to understand the cluster creation process:

    Wichtig

    Das Hinzufügen von HDInsight zu einem virtuellen Netzwerk ist ein optionaler Konfigurationsschritt.Adding HDInsight to a virtual network is an optional configuration step. Achten Sie darauf, beim Konfigurieren des Clusters das virtuelle Netzwerk auszuwählen.Be sure to select the virtual network when configuring the cluster.

Verbinden von mehreren NetzwerkenConnecting multiple networks

Die größte Herausforderung bei der Konfiguration von mehreren Netzwerken ist die Namensauflösung zwischen den Netzwerken.The biggest challenge with a multi-network configuration is name resolution between the networks.

Azure ermöglicht die Namensauflösung für Azure-Dienste, die in einem virtuellen Netzwerk installiert sind.Azure provides name resolution for Azure services that are installed in a virtual network. Diese integrierte Namensauflösung erlaubt HDInsight das Herstellen einer Verbindung mit den folgenden Ressourcen, indem ein vollqualifizierter Domänenname (FQDN) verwendet wird:This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • Alle Ressourcen, die im Internet verfügbar sind.Any resource that is available on the internet. Beispiel: „microsoft.com“, „windowsupdate.com“.For example, microsoft.com, windowsupdate.com.

  • Alle Ressourcen, die sich in demselben Azure Virtual Network befinden, indem der interne DNS-Name der Ressource verwendet wird.Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Beim Verwenden der Standardnamensauflösung sind dies Beispiele für interne DNS-Namen, die HDInsight-Workerknoten zugewiesen werden:For example, when using the default name resolution, the following are example internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Beide Knoten können direkt miteinander und mit anderen Knoten in HDInsight kommunizieren, indem interne DNS-Namen verwendet werden.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

Bei der Standardnamensauflösung ist es für HDInsight nicht zulässig, die Namen von Ressourcen in Netzwerken aufzulösen, die mit dem virtuellen Netzwerk verknüpft sind.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. Beispielsweise ist es eine gängige Vorgehensweise, Ihr lokales Netzwerk mit dem virtuellen Netzwerk zu verknüpfen.For example, it is common to join your on-premises network to the virtual network. Allein mit der Standardnamensauflösung kann HDInsight nicht anhand des Namens auf Ressourcen im lokalen Netzwerk zugreifen.With only the default name resolution, HDInsight cannot access resources in the on-premises network by name. Das Gegenteil gilt ebenfalls: Ressourcen in Ihrem lokalen Netzwerk können anhand des Namens nicht auf Ressourcen im virtuellen Netzwerk zugreifen.The opposite is also true, resources in your on-premises network cannot access resources in the virtual network by name.

Warnung

Sie müssen den benutzerdefinierten DNS-Server erstellen und das virtuelle Netzwerk für seine Verwendung konfigurieren, bevor Sie den HDInsight-Cluster erstellen.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

Die Ausführung der folgenden Aktionen ist erforderlich, um die Namensauflösung zwischen dem virtuellen Netzwerk und Ressourcen in verknüpften Netzwerken zu aktivieren:To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Erstellen eines benutzerdefinierten DNS-Servers im Azure Virtual Network, in dem Sie die Installation von HDInsight planenCreate a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. Konfigurieren des virtuellen Netzwerks zur Verwendung des benutzerdefinierten DNS-ServersConfigure the virtual network to use the custom DNS server.

  3. Suchen nach dem von Azure zugewiesenen DNS-Suffix für Ihr virtuelles Netzwerk.Find the Azure assigned DNS suffix for your virtual network. Dieser Wert ähnelt diesem Wert: 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. Informationen zum Ermitteln des DNS-Suffix finden Sie im Abschnitt Beispiel: Benutzerdefiniertes DNS.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Konfigurieren der Weiterleitung zwischen den DNS-Servern.Configure forwarding between the DNS servers. Die Konfiguration richtet sich nach dem Typ des Remotenetzwerks.The configuration depends on the type of remote network.

    • Wenn das Remotenetzwerk ein lokales Netzwerk ist, können Sie das DNS wie folgt konfigurieren:If the remote network is an on-premises network, configure DNS as follows:

      • Benutzerdefiniertes DNS (im virtuellen Netzwerk):Custom DNS (in the virtual network):

        • Leiten Sie Anforderungen für das DNS-Suffix des virtuellen Netzwerks an den rekursiven Azure-Resolver (168.63.129.16) weiter.Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). Azure verarbeitet Anforderungen von Ressourcen im virtuellen Netzwerk.Azure handles requests for resources in the virtual network

        • Leiten Sie alle anderen Anforderungen an den lokalen DNS-Server weiter.Forward all other requests to the on-premises DNS server. Das lokale DNS verarbeitet alle anderen Anforderungen der Namensauflösung. Dies gilt auch für Internetressourcen, z.B. „Microsoft.com“.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • Lokales DNS: Leiten Sie Anforderungen für das DNS-Suffix des virtuellen Netzwerks an den benutzerdefinierten DNS-Server weiter.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. Der benutzerdefinierte DNS-Server leitet die Daten dann an den rekursiven Azure-Resolver weiter.The custom DNS server then forwards to the Azure recursive resolver.

        Bei dieser Konfiguration werden Anforderungen von vollqualifizierten Domänennamen, die das DNS-Suffix des virtuellen Netzwerks enthalten, an den benutzerdefinierten DNS-Server weiter.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Alle anderen Anforderungen (auch für öffentliche Internetadressen) werden vom lokalen DNS-Server verarbeitet.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Konfigurieren Sie das DNS wie folgt, wenn das Remotenetzwerk ein anderes Azure Virtual Network ist:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • Benutzerdefiniertes DNS (in jedem virtuellen Netzwerk):Custom DNS (in each virtual network):

        • Anforderungen für das DNS-Suffix der virtuellen Netzwerke werden an die benutzerdefinierten DNS-Server weitergeleitet.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. Das DNS in jedem virtuellen Netzwerk ist für das Auflösen von Ressourcen im jeweiligen Netzwerk verantwortlich.The DNS in each virtual network is responsible for resolving resources within its network.

        • Leiten Sie alle anderen Anforderungen an den rekursiven Azure-Resolver weiter.Forward all other requests to the Azure recursive resolver. Der rekursive Resolver ist für das Auflösen von lokalen Ressourcen und Internetressourcen verantwortlich.The recursive resolver is responsible for resolving local and internet resources.

        Der DNS-Server für jedes Netzwerk leitet Anforderungen jeweils basierend auf dem DNS-Suffix an das andere Netzwerk weiter.The DNS server for each network forwards requests to the other, based on DNS suffix. Andere Anforderungen werden mit dem rekursiven Azure-Resolver aufgelöst.Other requests are resolved using the Azure recursive resolver.

      Ein Beispiel für die einzelnen Konfigurationen finden Sie im Abschnitt Beispiel: Benutzerdefiniertes DNS.For an example of each configuration, see the Example: Custom DNS section.

Weitere Informationen finden Sie im Dokument Namensauflösung für virtuelle Computer und Rolleninstanzen.For more information, see the Name Resolution for VMs and Role Instances document.

Herstellen einer direkten Verbindung mit Apache Hadoop-DienstenDirectly connect to Apache Hadoop services

Sie können unter https://CLUSTERNAME.azurehdinsight.net eine Verbindung mit dem Cluster herstellen.You can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. Diese Adresse verwendet eine öffentliche IP-Adresse, die möglicherweise nicht erreichbar sind, wenn Sie NSGs verwendet haben, um eingehenden Datenverkehr aus dem Internet einzuschränken.This address uses a public IP, which may not be reachable if you have used NSGs to restrict incoming traffic from the internet. Darüber hinaus können Sie bei der Bereitstellung des Clusters in einem VNET mithilfe des privaten Endpunkts https://CLUSTERNAME-int.azurehdinsight.net darauf zugreifen.Additionally, when you deploy the cluster in a VNet you can access it using the private endpoint https://CLUSTERNAME-int.azurehdinsight.net. Dieser Endpunkt wird in eine private IP-Adresse innerhalb des VNET für den Clusterzugriff aufgelöst.This endpoint resolves to a private IP inside the VNet for cluster access.

Verwenden Sie die folgenden Schritte, um über das virtuelle Netzwerk eine Verbindung mit Apache Ambari und anderen Webseiten herzustellen:To connect to Apache Ambari and other web pages through the virtual network, use the following steps:

  1. Verwenden Sie eine der folgenden Methoden, um die internen vollqualifizierten Domänennamen (FQDNs) der HDInsight-Clusterknoten zu ermitteln:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $clusterNICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP" | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group RESOURCEGROUP --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    Suchen Sie in der Liste mit den zurückgegebenen Knoten nach dem FQDN für die Hauptknoten, und verwenden Sie die FQDNs, um eine Verbindung mit Ambari und anderen Webdiensten herzustellen.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Verwenden Sie beispielsweise http://<headnode-fqdn>:8080, um auf Ambari zuzugreifen.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Wichtig

    Einige der auf den Hauptknoten gehosteten Dienste sind jeweils nur auf einem Knoten aktiv.Some services hosted on the head nodes are only active on one node at a time. Wenn Sie versuchen, auf einen Dienst auf einem der Hauptknoten zuzugreifen, und der Fehler 404 zurückgegeben wird, wechseln Sie zum anderen Hauptknoten.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Informationen dazu, wie Sie den Knoten und Port ermitteln, auf dem ein Dienst verfügbar ist, finden Sie im Dokument Von HDInsight verwendete Ports und URIs.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Steuern des NetzwerkdatenverkehrsControlling network traffic

Sie können den Netzwerkdatenverkehr in einem Azure Virtual Network mit den folgenden Methoden steuern:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • Mit Netzwerksicherheitsgruppen (NSGs) können Sie ein- und ausgehenden Datenverkehr für das Netzwerk filtern.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. Weitere Informationen finden Sie im Dokument Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.For more information, see the Filter network traffic with network security groups document.

    Warnung

    HDInsight unterstützt keine Einschränkung des ausgehenden Datenverkehrs.HDInsight does not support restricting outbound traffic. Der gesamte ausgehende Datenverkehr sollte zugelassen werden.All outbound traffic should be allowed.

  • Benutzerdefinierte Routen (UDR) definieren, wie Datenverkehr zwischen Ressourcen im Netzwerk fließt.User-defined routes (UDR) define how traffic flows between resources in the network. Weitere Informationen finden Sie im Dokument Benutzerdefinierte Routen und IP-Weiterleitung.For more information, see the User-defined routes and IP forwarding document.

  • Virtuelle Netzwerkgeräte replizieren die Funktionalität von Geräten, z.B. Firewalls und Routern.Network virtual appliances replicate the functionality of devices such as firewalls and routers. Weitere Informationen finden Sie im Dokument Network Appliances.For more information, see the Network Appliances document.

Als verwalteter Dienst benötigt HDInsight uneingeschränkten Zugriff auf die HDInsight-Integritäts- und -Verwaltungsdienste für eingehenden und ausgehenden Datenverkehr aus dem VNET.As a managed service, HDInsight requires unrestricted access to the HDInsight health and management services both for incoming and outgoing traffic from the VNET. Beim Verwenden von NSGs und UDRs müssen Sie sicherstellen, dass diese Dienste weiterhin mit dem HDInsight-Cluster kommunizieren können.When using NSGs and UDRs, you must ensure that these services can still communicate with HDInsight cluster.

HDInsight mit Netzwerksicherheitsgruppen und benutzerdefinierten RoutenHDInsight with network security groups and user-defined routes

Wenn Sie planen, Netzwerksicherheitsgruppen oder benutzerdefinierte Routen zum Steuern des Netzwerkdatenverkehrs zu verwenden, sollten Sie vor dem Installieren von HDInsight die folgenden Aktionen durchführen:If you plan on using network security groups or user-defined routes to control network traffic, perform the following actions before installing HDInsight:

  1. Identifizieren Sie die Azure-Region, die Sie für HDInsight verwenden möchten.Identify the Azure region that you plan to use for HDInsight.

  2. Identifizieren Sie die IP-Adressen, die für HDInsight erforderlich sind.Identify the IP addresses required by HDInsight. Weitere Informationen finden Sie im Abschnitt Für HDInsight erforderliche IP-Adressen.For more information, see the IP Addresses required by HDInsight section.

  3. Erstellen oder ändern Sie die Netzwerksicherheitsgruppen oder benutzerdefinierten Routen für das Subnetz, in dem Sie HDInsight installieren möchten.Create or modify the network security groups or user-defined routes for the subnet that you plan to install HDInsight into.

    • Netzwerksicherheitsgruppen: Lassen Sie eingehenden Datenverkehr über Port 443 für die IP-Adressen zu.Network security groups: allow inbound traffic on port 443 from the IP addresses. Dadurch wird sichergestellt, dass HDInsight-Verwaltungsdienste den Cluster außerhalb des VNET erreichen können.This will ensure that HDI management services can reach the cluster from outside VNET.
    • Benutzerdefinierte Routen: Wenn Sie benutzerdefinierte Routen verwenden möchten, erstellen Sie eine Route zu jeder IP-Adresse, und legen Sie Typ des nächsten Hops auf Internet fest.User-defined routes: If you plan to use UDRs, create a route for each IP address and set the Next hop type to Internet. Sie sollten auch jeglichen anderen ausgehenden Datenverkehr vom VNET ohne Einschränkung zulassen.You should also allow any other outbound traffic from the VNET with no restriction. Beispielsweise können Sie sämtlichen weiteren Datenverkehr zu Überwachungszwecken an Ihre Azure Firewall-Instanz oder Ihre (in Azure gehostete) virtuelle Netzwerkappliance weiterleiten, der ausgehende Datenverkehr sollte jedoch nicht blockiert werden.For example, you can route all other traffic to your Azure firewall or network virtual appliance (hosted in Azure) for monitoring purposes but the outgoing traffic should not be blocked.

Weitere Informationen zu Netzwerksicherheitsgruppen oder benutzerdefinierten Routen finden Sie in der folgenden Dokumentation:For more information on network security groups or user-defined routes, see the following documentation:

Tunnelerzwingung für lokale NetzwerkeForced tunneling to on-premise

Die Tunnelerzwingung ist eine benutzerdefinierte Routingkonfiguration, bei der für den gesamten Datenverkehr eines Subnetzes die Weiterleitung in ein bestimmtes Netzwerk bzw. an einen bestimmten Standort erzwungen wird, z.B. Ihr lokales Netzwerk.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight bietet keine Unterstützung für die Tunnelerzwingung für die lokalen Netzwerke.HDInsight does not support forced tunneling to the on-premises networks. Wenn Sie Azure Firewall oder eine in Azure gehostete virtuelle Netzwerkappliance verwenden, können Sie benutzerdefinierte Routen verwenden, um den Datenverkehr zu Überwachungszwecken an die Firewall bzw. Appliance weiterzuleiten und den gesamten ausgehenden Datenverkehr zuzulassen.If you are using Azure Firewall or a network virtual appliance hosted in Azure, you can use UDRs to route the traffic to it for monitoring purposes and allow all outgoing traffic.

Erforderliche IP-AdressenRequired IP addresses

Wichtig

Die Azure-Integritäts- und Verwaltungsdienste müssen mit HDInsight kommunizieren können.The Azure health and management services must be able to communicate with HDInsight. Wenn Sie Netzwerksicherheitsgruppen oder benutzerdefinierte Routen verwenden, erlauben Sie Datenverkehr von den IP-Adressen für diese Dienste, HDInsight zu erreichen.If you use network security groups or user-defined routes, allow traffic from the IP addresses for these services to reach HDInsight.

Wenn Sie zum Steuern des Datenverkehrs keine Netzwerksicherheitsgruppen oder benutzerdefinierte Routen verwenden, können Sie diesen Abschnitt ignorieren.If you do not use network security groups or user-defined routes to control traffic, you can ignore this section.

Wenn Sie Netzwerksicherheitsgruppen verwenden, müssen Sie Datenverkehr von den Integritäts- und Verwaltungsdiensten von Azure zu HDInsight-Clustern an Port 443 zulassen.If you use network security groups, you must allow traffic from the Azure health and management services to reach HDInsight clusters on port 443. Sie müssen auch Datenverkehr zwischen VMs innerhalb des Subnetzes zulassen.You must also allow traffic between VMs inside the subnet. Ermitteln Sie anhand der folgenden Schritte die IP-Adressen, die zugelassen werden müssen:Use the following steps to find the IP addresses that must be allowed:

  1. Datenverkehr von den folgenden IP-Adressen muss immer zugelassen werden:You must always allow traffic from the following IP addresses:

    Quell-IP-AdresseSource IP address ZielportDestination port DirectionDirection
    168.61.49.99168.61.49.99 443443 EingehendInbound
    23.99.5.23923.99.5.239 443443 EingehendInbound
    168.61.48.131168.61.48.131 443443 EingehendInbound
    138.91.141.162138.91.141.162 443443 EingehendInbound
  2. Wenn sich Ihr HDInsight-Cluster in einer der folgenden Regionen befindet, müssen Sie Datenverkehr von den für die Region aufgeführten IP-Adressen zulassen:If your HDInsight cluster is in one of the following regions, then you must allow traffic from the IP addresses listed for the region:

    Wichtig

    Wenn die verwendete Azure-Region nicht aufgeführt ist, verwenden Sie nur die vier IP-Adressen aus Schritt 1.If the Azure region you are using is not listed, then only use the four IP addresses from step 1.

    CountryCountry RegionRegion Zulässige Quell-IP-AdressenAllowed Source IP addresses Zulässiger ZielportAllowed Destination port DirectionDirection
    AsienAsia Asien, OstenEast Asia 23.102.235.12223.102.235.122
    52.175.38.13452.175.38.134
    443443 EingehendInbound
      Asien, SüdostenSoutheast Asia 13.76.245.16013.76.245.160
    13.76.136.24913.76.136.249
    443443 EingehendInbound
    AustralienAustralia Australien (Osten)Australia East 104.210.84.115104.210.84.115
    13.75.152.19513.75.152.195
    443443 EingehendInbound
      Australien, SüdostenAustralia Southeast 13.77.2.5613.77.2.56
    13.77.2.9413.77.2.94
    443443 EingehendInbound
    BrasilienBrazil Brasilien SüdBrazil South 191.235.84.104191.235.84.104
    191.235.87.113191.235.87.113
    443443 EingehendInbound
    KanadaCanada Kanada, OstenCanada East 52.229.127.9652.229.127.96
    52.229.123.17252.229.123.172
    443443 EingehendInbound
      Kanada, MitteCanada Central 52.228.37.6652.228.37.66
    52.228.45.22252.228.45.222
    443443 EingehendInbound
    ChinaChina China, NordenChina North 42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219

    42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157
    443443 EingehendInbound
      China, OstenChina East 42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157

    42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219
    443443 EingehendInbound
      China, Norden 2China North 2 40.73.37.14140.73.37.141
    40.73.38.17240.73.38.172
    443443 EingehendInbound
      China, Osten 2China East 2 139.217.227.106139.217.227.106
    139.217.228.187139.217.228.187
    443443 EingehendInbound
    EuropaEurope NordeuropaNorth Europe 52.164.210.9652.164.210.96
    13.74.153.13213.74.153.132
    443443 EingehendInbound
      Europa, WestenWest Europe 52.166.243.9052.166.243.90
    52.174.36.24452.174.36.244
    443443 EingehendInbound
    FrankreichFrance Frankreich, MitteFrance Central 20.188.39.6420.188.39.64
    40.89.157.13540.89.157.135
    443443 EingehendInbound
    DeutschlandGermany Deutschland, MitteGermany Central 51.4.146.6851.4.146.68
    51.4.146.8051.4.146.80
    443443 EingehendInbound
      Deutschland, NordostenGermany Northeast 51.5.150.13251.5.150.132
    51.5.144.10151.5.144.101
    443443 EingehendInbound
    IndienIndia Indien, MitteCentral India 52.172.153.20952.172.153.209
    52.172.152.4952.172.152.49
    443443 EingehendInbound
      Indien (Süden)South India 104.211.223.67104.211.223.67
    104.211.216.210104.211.216.210
    443443 EingehendInbound
    JapanJapan Japan, OstenJapan East 13.78.125.9013.78.125.90
    13.78.89.6013.78.89.60
    443443 EingehendInbound
      Japan, WestenJapan West 40.74.125.6940.74.125.69
    138.91.29.150138.91.29.150
    443443 EingehendInbound
    KoreaKorea Korea, MitteKorea Central 52.231.39.14252.231.39.142
    52.231.36.20952.231.36.209
    433433 EingehendInbound
      Korea, SüdenKorea South 52.231.203.1652.231.203.16
    52.231.205.21452.231.205.214
    443443 EingehendInbound
    Vereinigtes KönigreichUnited Kingdom UK, WestenUK West 51.141.13.11051.141.13.110
    51.141.7.2051.141.7.20
    443443 EingehendInbound
      UK, SüdenUK South 51.140.47.3951.140.47.39
    51.140.52.1651.140.52.16
    443443 EingehendInbound
    USAUnited States USA (Mitte)Central US 13.67.223.21513.67.223.215
    40.86.83.25340.86.83.253
    443443 EingehendInbound
      USA (Ost)East US 13.82.225.23313.82.225.233
    40.71.175.9940.71.175.99
    443443 EingehendInbound
      USA Nord MitteNorth Central US 157.56.8.38157.56.8.38
    157.55.213.99157.55.213.99
    443443 EingehendInbound
      USA, Westen-MitteWest Central US 52.161.23.1552.161.23.15
    52.161.10.16752.161.10.167
    443443 EingehendInbound
      USA (Westen)West US 13.64.254.9813.64.254.98
    23.101.196.1923.101.196.19
    443443 EingehendInbound
      USA, Westen 2West US 2 52.175.211.21052.175.211.210
    52.175.222.22252.175.222.222
    443443 EingehendInbound

    Informationen zu den IP-Adressen, die für Azure Government verwendet werden, finden Sie im Dokument Azure Government Intelligence + Analytics (Azure Government – Daten und Analyse)For information on the IP addresses to use for Azure Government, see the Azure Government Intelligence + Analytics document.

  3. Sie müssen auch den Zugriff von 168.63.129.16 zulassen.You must also allow access from 168.63.129.16. Diese Adresse ist der rekursive Resolver von Azure.This address is Azure's recursive resolver. Weitere Informationen finden Sie im Dokument Namensauflösung für virtuelle Computer und Rolleninstanzen.For more information, see the Name resolution for VMs and Role instances document.

Weitere Informationen finden Sie im Abschnitt Steuern des Netzwerkdatenverkehrs.For more information, see the Controlling network traffic section.

Wenn Sie benutzerdefinierte Routen (User-Defined Routes, UDRs) verwenden, sollten Sie eine Route angeben und ausgehenden Datenverkehr vom VNET an die oben genannten IP-Adressen zulassen und den nächsten Hop dabei auf „Internet“ festlegen.If you are using user-defined routes(UDRs), you should specify a route and allow outbound traffic from the VNET to the above IPs with the next hop set to "Internet".

Erforderliche PortsRequired ports

Wenn Sie eine Firewall verwenden und extern über bestimmte Ports auf den Cluster zugreifen möchten, müssen Sie möglicherweise Datenverkehr an den für Ihr Szenario erforderlichen Ports zulassen.If you plan on using a firewall and access the cluster from outside on certain ports, you might need to allow traffic on those ports needed for your scenario. Standardmäßig ist keine spezifische Whitelist von Ports erforderlich, solange der im vorherigen Abschnitt erläuterte Azure-Verwaltungsdatenverkehr für Cluster an Port 443 zulässig ist.By default, no special whitelisting of ports is needed as long as the azure management traffic explained in the previous section is allowed to reach cluster on port 443.

Eine Liste mit Ports für bestimmte Dienste finden Sie im Dokument Ports für Apache Hadoop-Dienste in HDInsight.For a list of ports for specific services, see the Ports used by Apache Hadoop services on HDInsight document.

Weitere Informationen zu Firewallregeln für virtuelle Geräte finden Sie im Dokument Szenario für virtuelle Geräte.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

Beispiel: Netzwerksicherheitsgruppen mit HDInsightExample: network security groups with HDInsight

Die Beispiele in diesem Abschnitt veranschaulichen, wie Sie Netzwerksicherheitsgruppen-Regeln erstellen, die HDInsight die Kommunikation mit den Azure-Verwaltungsdiensten ermöglichen.The examples in this section demonstrate how to create network security group rules that allow HDInsight to communicate with the Azure management services. Passen Sie vor dem Verwenden der Beispiele die IP-Adressen an die IP-Adressen der genutzten Azure-Region an.Before using the examples, adjust the IP addresses to match the ones for the Azure region you are using. Sie finden diese Informationen im Abschnitt HDInsight mit Netzwerksicherheitsgruppen und benutzerdefinierten Routen.You can find this information in the HDInsight with network security groups and user-defined routes section.

Azure Resource Manager-VorlageAzure Resource Management template

Mit der folgenden Resource Manager-Vorlage wird ein virtuelles Netzwerk erstellt, mit dem eingehender Datenverkehr eingeschränkt wird, während Datenverkehr von den IP-Adressen zugelassen wird, die für HDInsight benötigt werden.The following Resource Management template creates a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight. Mit dieser Vorlage wird auch ein HDInsight-Cluster im virtuellen Netzwerk erstellt.This template also creates an HDInsight cluster in the virtual network.

Wichtig

Ändern Sie die IP-Adressen, die in diesem Beispiel verwendet werden, damit sie der von Ihnen verwendeten Azure-Region entsprechen.Change the IP addresses used in this example to match the Azure region you are using. Sie finden diese Informationen im Abschnitt HDInsight mit Netzwerksicherheitsgruppen und benutzerdefinierten Routen.You can find this information in the HDInsight with network security groups and user-defined routes section.

Azure PowerShellAzure PowerShell

Verwenden Sie das folgende PowerShell-Skript, um ein virtuelles Netzwerk zu erstellen, bei dem eingehender Datenverkehr eingeschränkt und Datenverkehr von den IP-Adressen für die Region „Europa, Norden“ zugelassen wird.Use the following PowerShell script to create a virtual network that restricts inbound traffic and allows traffic from the IP addresses for the North Europe region.

Wichtig

Ändern Sie die IP-Adressen, die in diesem Beispiel verwendet werden, damit sie der von Ihnen verwendeten Azure-Region entsprechen.Change the IP addresses used in this example to match the Azure region you are using. Sie finden diese Informationen im Abschnitt HDInsight mit Netzwerksicherheitsgruppen und benutzerdefinierten Routen.You can find this information in the HDInsight with network security groups and user-defined routes section.

$vnetName = "Replace with your virtual network name"
$resourceGroupName = "Replace with the resource group the virtual network is in"
$subnetName = "Replace with the name of the subnet that you plan to use for HDInsight"
# Get the Virtual Network object
$vnet = Get-AzVirtualNetwork `
    -Name $vnetName `
    -ResourceGroupName $resourceGroupName
# Get the region the Virtual network is in.
$location = $vnet.Location
# Get the subnet object
$subnet = $vnet.Subnets | Where-Object Name -eq $subnetName
# Create a Network Security Group.
# And add exemptions for the HDInsight health and management services.
$nsg = New-AzNetworkSecurityGroup `
    -Name "hdisecure" `
    -ResourceGroupName $resourceGroupName `
    -Location $location `
    | Add-AzNetworkSecurityRuleConfig `
        -name "hdirule1" `
        -Description "HDI health and management address 52.164.210.96" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "52.164.210.96" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 300 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule2" `
        -Description "HDI health and management 13.74.153.132" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "13.74.153.132" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 301 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule3" `
        -Description "HDI health and management 168.61.49.99" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.49.99" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 302 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule4" `
        -Description "HDI health and management 23.99.5.239" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "23.99.5.239" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 303 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule5" `
        -Description "HDI health and management 168.61.48.131" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.48.131" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 304 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule6" `
        -Description "HDI health and management 138.91.141.162" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "138.91.141.162" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 305 `
        -Direction Inbound `
# Set the changes to the security group
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
# Apply the NSG to the subnet
Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $vnet `
    -Name $subnetName `
    -AddressPrefix $subnet.AddressPrefix `
    -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Wichtig

In diesem Beispiel wird veranschaulicht, wie Sie Regeln hinzufügen, um eingehenden Datenverkehr für die erforderlichen IP-Adressen zuzulassen.This example demonstrates how to add rules to allow inbound traffic on the required IP addresses. Es enthält keine Regel zum Einschränken des Zugriffs in eingehender Richtung von anderen Quellen.It does not contain a rule to restrict inbound access from other sources.

Im folgenden Beispiel wird veranschaulicht, wie der SSH-Zugriff über das Internet aktiviert wird:The following example demonstrates how to enable SSH access from the Internet:

Add-AzNetworkSecurityRuleConfig -Name "SSH" -Description "SSH" -Protocol "*" -SourcePortRange "*" -DestinationPortRange "22" -SourceAddressPrefix "*" -DestinationAddressPrefix "VirtualNetwork" -Access Allow -Priority 306 -Direction Inbound

Azure-BefehlszeilenschnittstelleAzure CLI

Verwenden Sie die folgenden Schritte, um ein virtuelles Netzwerk zu erstellen, mit dem eingehender Datenverkehr eingeschränkt wird, während Datenverkehr von den IP-Adressen zugelassen wird, die für HDInsight benötigt werden.Use the following steps to create a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight.

  1. Verwenden Sie den folgenden Befehl, um eine neue Netzwerksicherheitsgruppe namens hdisecurezu erstellen.Use the following command to create a new network security group named hdisecure. Ersetzen Sie RESOURCEGROUP durch die Ressourcengruppe, die das virtuelle Azure-Netzwerk enthält.Replace RESOURCEGROUP with the resource group that contains the Azure Virtual Network. Ersetzen Sie LOCATION durch den Standort (Region), in dem die Gruppe erstellt wurde.Replace LOCATION with the location (region) that the group was created in.

    az network nsg create -g RESOURCEGROUP -n hdisecure -l LOCATION
    

    Nachdem die Gruppe erstellt wurde, erhalten Sie Informationen über die neue Gruppe.Once the group has been created, you receive information on the new group.

  2. Gehen Sie wie folgt vor, um der neuen Netzwerksicherheitsgruppe Regeln hinzuzufügen, die eingehende Kommunikation auf Port 443 aus dem Azure HDInsight-Integritäts- und Verwaltungsdienst ermöglichen.Use the following to add rules to the new network security group that allow inbound communication on port 443 from the Azure HDInsight health and management service. Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Azure-Netzwerk enthält.Replace RESOURCEGROUP with the name of the resource group that contains the Azure Virtual Network.

    Wichtig

    Ändern Sie die IP-Adressen, die in diesem Beispiel verwendet werden, damit sie der von Ihnen verwendeten Azure-Region entsprechen.Change the IP addresses used in this example to match the Azure region you are using. Sie finden diese Informationen im Abschnitt HDInsight mit Netzwerksicherheitsgruppen und benutzerdefinierten Routen.You can find this information in the HDInsight with network security groups and user-defined routes section.

    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule1 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "52.164.210.96" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 300 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "13.74.153.132" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 301 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule3 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.49.99" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 302 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule4 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "23.99.5.239" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 303 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.48.131" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 304 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule6 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "138.91.141.162" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 305 --direction "Inbound"
    
  3. Verwenden Sie den folgenden Befehl, um den eindeutigen Bezeichner für diese Netzwerksicherheitsgruppe abzurufen:To retrieve the unique identifier for this network security group, use the following command:

    az network nsg show -g RESOURCEGROUP -n hdisecure --query 'id'
    

    Dieser Befehl gibt einen Wert zurück, der in etwa wie folgt aussieht:This command returns a value similar to the following text:

     "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Schließen Sie die id in doppelte Anführungszeichen ein, wenn Sie nicht die erwarteten Ergebnisse erhalten.Use double-quotes around id in the command if you don't get the expected results.

  4. Verwenden Sie den folgenden Befehl, um die Netzwerksicherheitsgruppe auf ein Subnetz anzuwenden.Use the following command to apply the network security group to a subnet. Ersetzen Sie die Werte GUID und RESOURCEGROUP durch die Rückgabewerte aus dem vorherigen Schritt.Replace the GUID and RESOURCEGROUP values with the ones returned from the previous step. Ersetzen Sie VNETNAME und SUBNETNAME durch den Namen des zu erstellenden virtuellen Netzwerks bzw. durch den Namen des Subnetzes.Replace VNETNAME and SUBNETNAME with the virtual network name and subnet name that you want to create.

    az network vnet subnet update -g RESOURCEGROUP --vnet-name VNETNAME --name SUBNETNAME --set networkSecurityGroup.id="/subscriptions/GUID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Nachdem die Ausführung dieses Befehls abgeschlossen ist, können Sie HDInsight im virtuellen Netzwerk installieren.Once this command completes, you can install HDInsight into the Virtual Network.

Wichtig

Mit diesen Schritten wird nur der Zugriff auf den HDInsight-Integritäts- und -Verwaltungsdienst in der Azure-Cloud ermöglicht.These steps only open access to the HDInsight health and management service on the Azure cloud. Jeder andere Zugriff auf den HDInsight-Cluster von außerhalb des virtuellen Netzwerks wird blockiert.Any other access to the HDInsight cluster from outside the Virtual Network is blocked. Wenn Sie den Zugriff von außerhalb des virtuellen Netzwerks ermöglichen möchten, müssen Sie zusätzliche Netzwerksicherheitsgruppen-Regeln hinzufügen.To enable access from outside the virtual network, you must add additional Network Security Group rules.

Im folgenden Beispiel wird veranschaulicht, wie der SSH-Zugriff über das Internet aktiviert wird:The following example demonstrates how to enable SSH access from the Internet:

az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "22" --source-address-prefix "*" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 306 --direction "Inbound"

Beispiel: DNS-KonfigurationExample: DNS configuration

Namensauflösung zwischen einem virtuellen Netzwerk und einem verbundenen lokalen NetzwerkName resolution between a virtual network and a connected on-premises network

Für dieses Beispiel werden die folgenden Annahmen getroffen:This example makes the following assumptions:

  • Sie verfügen über ein Azure Virtual Network, das per VPN-Gateway mit einem lokalen Netzwerk verbunden ist.You have an Azure Virtual Network that is connected to an on-premises network using a VPN gateway.

  • Auf dem benutzerdefinierten DNS-Server im virtuellen Netzwerk wird als Betriebssystem Linux oder Unix ausgeführt.The custom DNS server in the virtual network is running Linux or Unix as the operating system.

  • Auf dem benutzerdefinierten DNS-Server ist Bind installiert.Bind is installed on the custom DNS server.

Auf dem benutzerdefinierten DNS-Server im virtuellen Netzwerk:On the custom DNS server in the virtual network:

  1. Verwenden Sie entweder Azure PowerShell oder Azure CLI, um nach dem DNS-Suffix des virtuellen Netzwerks zu suchen:Use either Azure PowerShell or Azure CLI to find the DNS suffix of the virtual network:

    Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Verwenden Sie auf dem benutzerdefinierten DNS-Server für das virtuelle Netzwerk den folgenden Text als Inhalt der Datei /etc/bind/named.conf.local:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.local file:

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {168.63.129.16;}; # Azure recursive resolver
    };
    

    Ersetzen Sie den Wert 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net durch das DNS-Suffix Ihres virtuellen Netzwerks.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of your virtual network.

    Bei dieser Konfiguration werden alle DNS-Anforderungen für das DNS-Suffix des virtuellen Netzwerks an den rekursiven Azure-Resolver geleitet.This configuration routes all DNS requests for the DNS suffix of the virtual network to the Azure recursive resolver.

  3. Verwenden Sie auf dem benutzerdefinierten DNS-Server für das virtuelle Netzwerk den folgenden Text als Inhalt der Datei /etc/bind/named.conf.options:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    // TODO: Add the IP range of the joined network to this list
    acl goodclients {
        10.0.0.0/16; # IP address range of the virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            # All other requests are sent to the following
            forwarders {
                192.168.0.1; # Replace with the IP address of your on-premises DNS server
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    
    • Ersetzen Sie den Wert 10.0.0.0/16 durch den IP-Adressbereich Ihres virtuellen Netzwerks.Replace the 10.0.0.0/16 value with the IP address range of your virtual network. Für diesen Eintrag sind Adressen für Namensauflösungsanforderungen innerhalb dieses Bereichs zulässig.This entry allows name resolution requests addresses within this range.

    • Fügen Sie den IP-Adressbereich des lokalen Netzwerks dem Abschnitt acl goodclients { ... } hinzu.Add the IP address range of the on-premises network to the acl goodclients { ... } section. Für den Eintrag sind Namensauflösungsanforderungen von Ressourcen im lokalen Netzwerk zulässig.entry allows name resolution requests from resources in the on-premises network.

    • Ersetzen Sie den Wert 192.168.0.1 durch die IP-Adresse Ihres lokalen DNS-Servers.Replace the value 192.168.0.1 with the IP address of your on-premises DNS server. Bei diesem Eintrag werden alle anderen DNS-Anforderungen an den lokalen DNS-Server geleitet.This entry routes all other DNS requests to the on-premises DNS server.

  4. Starten Sie Bind neu, um die Konfiguration zu verwenden.To use the configuration, restart Bind. Beispiel: sudo service bind9 restart.For example, sudo service bind9 restart.

  5. Fügen Sie dem lokalen DNS-Server eine bedingte Weiterleitung hinzu.Add a conditional forwarder to the on-premises DNS server. Konfigurieren Sie die bedingte Weiterleitung, um Anforderungen für das DNS-Suffix aus Schritt 1 an den benutzerdefinierten DNS-Server zu senden.Configure the conditional forwarder to send requests for the DNS suffix from step 1 to the custom DNS server.

    Hinweis

    Die Dokumentation Ihrer DNS-Software enthält ausführliche Informationen zum Hinzufügen einer bedingten Weiterleitung.Consult the documentation for your DNS software for specifics on how to add a conditional forwarder.

Nach Ausführung dieser Schritte können Sie mit den Ressourcen in beiden Netzwerken eine Verbindung herstellen, indem Sie vollqualifizierte Domänennamen (FQDNs) verwenden.After completing these steps, you can connect to resources in either network using fully qualified domain names (FQDN). Sie können HDInsight jetzt im virtuellen Netzwerk installieren.You can now install HDInsight into the virtual network.

Namensauflösung zwischen zwei verbundenen virtuellen NetzwerkenName resolution between two connected virtual networks

Für dieses Beispiel werden die folgenden Annahmen getroffen:This example makes the following assumptions:

  • Sie verfügen über zwei Azure Virtual Networks, die per VPN-Gateway oder Peering verbunden sind.You have two Azure Virtual Networks that are connected using either a VPN gateway or peering.

  • Auf dem benutzerdefinierten DNS-Server in beiden Netzwerken wird als Betriebssystem Linux oder Unix ausgeführt.The custom DNS server in both networks is running Linux or Unix as the operating system.

  • Auf den benutzerdefinierten DNS-Servern ist Bind installiert.Bind is installed on the custom DNS servers.

  1. Verwenden Sie entweder Azure PowerShell oder Azure CLI, um nach dem DNS-Suffix der beiden virtuellen Netzwerke zu suchen:Use either Azure PowerShell or Azure CLI to find the DNS suffix of both virtual networks:

    Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Verwenden Sie den folgenden Text als Inhalt der Datei /etc/bind/named.config.local auf dem benutzerdefinierten DNS-Server.Use the following text as the contents of the /etc/bind/named.config.local file on the custom DNS server. Nehmen Sie diese Änderung auf dem benutzerdefinierten DNS-Server in beiden virtuellen Netzwerken vor.Make this change on the custom DNS server in both virtual networks.

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {10.0.0.4;}; # The IP address of the DNS server in the other virtual network
    };
    

    Ersetzen Sie den Wert 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net durch das DNS-Suffix des anderen virtuellen Netzwerks.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of the other virtual network. Mit diesem Eintrag werden Anforderungen für das DNS-Suffix des Remotenetzwerks an das benutzerdefinierte DNS in diesem Netzwerk geleitet.This entry routes requests for the DNS suffix of the remote network to the custom DNS in that network.

  3. Verwenden Sie auf den benutzerdefinierten DNS-Servern der beiden virtuellen Netzwerke den folgenden Text als Inhalt der Datei /etc/bind/named.conf.options:On the custom DNS servers in both virtual networks, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    acl goodclients {
        10.1.0.0/16; # The IP address range of one virtual network
        10.0.0.0/16; # The IP address range of the other virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            forwarders {
            168.63.129.16;   # Azure recursive resolver         
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    

    Ersetzen Sie die Werte 10.0.0.0/16 und 10.1.0.0/16 durch die IP-Adressbereiche Ihrer virtuellen Netzwerke.Replace the 10.0.0.0/16 and 10.1.0.0/16 values with the IP address ranges of your virtual networks. Bei diesem Eintrag ist es für Ressourcen in beiden Netzwerken zulässig, Anforderungen an die DNS-Server zu senden.This entry allows resources in each network to make requests of the DNS servers.

    Alle Anforderungen, die nicht für die DNS-Suffixe der virtuellen Netzwerke bestimmt sind (z.B. „microsoft.com“), werden vom rekursiven Azure-Resolver verarbeitet.Any requests that are not for the DNS suffixes of the virtual networks (for example, microsoft.com) is handled by the Azure recursive resolver.

  4. Starten Sie Bind neu, um die Konfiguration zu verwenden.To use the configuration, restart Bind. Beispiel: sudo service bind9 restart auf beiden DNS-Servern.For example, sudo service bind9 restart on both DNS servers.

Nach Ausführung dieser Schritte können Sie mit den Ressourcen im virtuellen Netzwerk eine Verbindung herstellen, indem Sie vollqualifizierte Domänennamen (FQDNs) verwenden.After completing these steps, you can connect to resources in the virtual network using fully qualified domain names (FQDN). Sie können HDInsight jetzt im virtuellen Netzwerk installieren.You can now install HDInsight into the virtual network.

Nächste SchritteNext steps