HDInsight-Verwaltungs-IP-Adressen
Dieser Artikel enthält die IP-Adressen, die von den Integritäts- und Verwaltungsdiensten von Azure HDInsight verwendet werden. Wenn Sie Netzwerksicherheitsgruppen (NSGs) oder benutzerdefinierte Routen (User Defined Routes, UDRs) verwenden, müssen Sie möglicherweise einige dieser IP-Adressen der Liste der zulässigen Adressen für eingehenden Netzwerkdatenverkehr hinzufügen.
Einführung
Wichtig
In den meisten Fällen können Sie jetzt Diensttags für Netzwerksicherheitsgruppen verwenden, statt IP-Adressen manuell hinzuzufügen. IP-Adressen werden für neue Azure-Regionen nicht veröffentlicht und nur veröffentlichte Azure-Diensttags aufweisen. Die statischen IP-Adressen für Verwaltungs-IP-Adressen werden nach und nach als veraltet markiert.
Wenn Sie Netzwerksicherheitsgruppen (NSG) oder benutzerdefinierte Routen (User-Defined Routes, UDRs) zum Steuern von eingehendem Datenverkehr auf Ihrem HDInsight-Cluster verwenden, müssen Sie sicherstellen, dass der Cluster mit kritischen Integritäts- und Verwaltungsdiensten von Azure kommunizieren kann. Einige der IP-Adressen für diese Dienste sind regionsspezifisch, und einige gelten für alle Azure-Regionen. Unter Umständen müssen Sie auch Datenverkehr über den Azure DNS-Dienst zulassen, wenn Sie kein benutzerdefiniertes DNS verwenden.
Wenn Sie IP-Adressen für eine hier nicht aufgeführte Region benötigen, können Sie die Ermittlungs-API für Diensttags verwenden, um IP-Adressen für Ihre Region zu finden. Wenn Sie die API nicht verwenden können, laden Sie die JSON-Datei mit Diensttags herunter, und suchen Sie nach der gewünschten Region.
HDInsight führt die Überprüfung für diese Regeln mit Clustererstellung und -skalierung durch, um weitere Fehler zu vermeiden. Wenn die Überprüfung nicht bestanden wird, tritt bei Erstellung und Skalierung ein Fehler auf.
In den folgenden Abschnitten werden die spezifischen IP-Adressen erläutert, die zugelassen werden müssen.
Azure DNS-Dienst
Wenn Sie den von Azure bereitgestellten DNS-Dienst verwenden, müssen Sie den Zugriff auf 168.63.129.16 an Port 53 sowohl für TCP als auch UDP zulassen. Weitere Informationen finden Sie im Dokument Namensauflösung für virtuelle Computer und Rolleninstanzen. Überspringen Sie diesen Schritt, wenn Sie ein benutzerdefiniertes DNS verwenden.
Integritäts- und Verwaltungsdienste: Alle Regionen
Lassen Sie Datenverkehr von den folgenden IP-Adressen für Integritäts- und Verwaltungsdienste von Azure HDInsight zu, die für alle Azure-Regionen gelten:
| Quell-IP-Adresse | Destination | Direction |
|---|---|---|
| 168.61.49.99 | *:443 | Eingehend |
| 23.99.5.239 | *:443 | Eingehend |
| 168.61.48.131 | *:443 | Eingehend |
| 138.91.141.162 | *:443 | Eingehend |
Integritäts- und Verwaltungsdienste: Bestimmte Regionen
Lassen Sie Datenverkehr von den IP-Adressen zu, die für Azure HDInsight-Integritäts- und -Verwaltungsdienste in der jeweiligen Azure-Region angegeben sind, in der sich Ihre Ressourcen befinden. Beachten Sie folgenden Hinweis:
Wichtig
Wir empfehlen die Verwendung des Features Diensttag für Netzwerksicherheitsgruppen. Wenn Sie regionsspezifische Diensttags benötigen, finden Sie diese unter Azure-IP-Adressbereiche und -Diensttags – öffentliche Cloud.
Informationen zu den IP-Adressen, die für Azure Government verwendet werden, finden Sie im Dokument Azure Government Intelligence + Analytics (Azure Government – Daten und Analyse)
Weitere Informationen finden Sie unter Steuern des Netzwerkdatenverkehrs.
Wenn Sie benutzerdefinierte Routen (User-Defined Routes, UDRs) verwenden, sollten Sie eine Route angeben, ausgehenden Datenverkehr vom virtuellen Netzwerk an die oben genannten IP-Adressen zulassen und dabei den nächsten Hop auf „Internet“ festlegen.