Planen eines virtuellen Netzwerks für Azure HDInsightPlan a virtual network for Azure HDInsight

Dieser Artikel enthält Hintergrundinformationen zur Verwendung von Azure Virtual Network mit Azure HDInsight.This article provides background information on using Azure Virtual Networks with Azure HDInsight. Außerdem werden Entwurfs- und Implementierungsentscheidungen erörtert, die vor der Implementierung eines virtuellen Netzwerks für Ihren HDInsight-Cluster getroffen werden müssen.It also discusses design and implementation decisions that must be made before you can implement a virtual network for your HDInsight cluster. Nachdem die Planungsphase abgeschlossen ist, können Sie mit dem Create virtual networks for Azure HDInsight clusters (Erstellen von virtuellen Netzwerken für Azure HDInsight-Cluster) fortfahren.Once the planning phase is finished, you can proceed to Create virtual networks for Azure HDInsight clusters. Weitere Informationen zu den IP-Adressen für die HDInsight-Verwaltung, die für die ordnungsgemäße Konfiguration von Netzwerksicherheitsgruppen und benutzerdefinierten Routen erforderlich sind, finden Sie unter HDInsight management IP addresses (IP-Adressen für die HDInsight-Verwaltung).For more information on HDInsight management IP addresses that are needed to properly configure network security groups and user-defined routes, see HDInsight management IP addresses.

Die Nutzung eines Azure Virtual Network ermöglicht die folgenden Szenarien:Using an Azure Virtual Network enables the following scenarios:

  • Herstellen einer Verbindung mit HDInsight direkt über ein lokales NetzwerkConnecting to HDInsight directly from an on-premises network.
  • Herstellen einer Verbindung für HDInsight mit Datenspeichern in einem Azure Virtual NetworkConnecting HDInsight to data stores in an Azure Virtual network.
  • Direktes Zuweisen von Apache Hadoop-Diensten, die nicht öffentlich über das Internet verfügbar sind.Directly accessing Apache Hadoop services that are not available publicly over the internet. Zum Beispiel Apache Kafka-APIs oder die Apache HBase-Java-API.For example, Apache Kafka APIs or the Apache HBase Java API.

Wichtig

Wenn Sie einen HDInsight-Cluster in einem VNET erstellen, werden mehrere Netzwerkressourcen erstellt, z. B. NICs und Lastenausgleichsmodule.Creating an HDInsight cluster in a VNET will create several networking resources, such as NICs and load balancers. Löschen Sie diese Netzwerkressourcen nicht, da sie benötigt werden, damit Ihr Cluster mit dem VNET ordnungsgemäß funktioniert.Do not delete these networking resources, as they are needed for your cluster to function correctly with the VNET.

Ab dem 28. Februar 2019 werden die Netzwerkressourcen (wie Netzwerkschnittstellenkarten, Lastenausgleichsmodule usw.) für in einem virtuellen Netzwerk NEU erstellte HDInsight-Cluster in der gleichen HDInsight-Clusterressourcengruppe bereitgestellt.After Feb 28, 2019, the networking resources (such as NICs, LBs, etc) for NEW HDInsight clusters created in a VNET will be provisioned in the same HDInsight cluster resource group. Zuvor wurden diese Ressourcen in der Ressourcengruppe des virtuellen Netzwerks bereitgestellt.Previously, these resources were provisioned in the VNET resource group. Für derzeit ausgeführte Cluster und Cluster, die ohne virtuelles Netzwerk erstellt wurden, ändert sich nichts.There is no change to the current running clusters and those clusters created without a VNET.

PlanungPlanning

Sie müssen die folgenden Fragen beantworten, wenn Sie die Installation von HDInsight in einem virtuellen Netzwerk planen:The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Müssen Sie HDInsight in einem vorhandenen virtuellen Netzwerk installieren?Do you need to install HDInsight into an existing virtual network? Oder erstellen Sie ein neues Netzwerk?Or are you creating a new network?

    Falls Sie ein vorhandenes virtuelles Netzwerk verwenden, müssen Sie unter Umständen die Netzwerkkonfiguration ändern, bevor Sie HDInsight installieren können.If you are using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. Weitere Informationen finden Sie im Abschnitt Hinzufügen von HDInsight zu einem vorhandenen virtuellen Netzwerk.For more information, see the add HDInsight to an existing virtual network section.

  • Möchten Sie das virtuelle Netzwerk mit HDInsight einem anderen virtuellen Netzwerk oder Ihrem lokalen Netzwerk hinzufügen?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Um Ressourcen auf einfache Weise netzwerkübergreifend verwenden zu können, müssen Sie ggf. ein benutzerdefiniertes DNS erstellen und die DNS-Weiterleitung konfigurieren.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. Weitere Informationen finden Sie im Abschnitt Verbinden von mehreren Netzwerken.For more information, see the connecting multiple networks section.

  • Möchten Sie ein- oder ausgehenden Datenverkehr für HDInsight beschränken oder umleiten?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    HDInsight muss über eine uneingeschränkte Kommunikation mit bestimmten IP-Adressen im Azure-Rechenzentrum verfügen.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Es gibt auch mehrere Ports, für die die Clientkommunikation durch Firewalls zugelassen sein muss.There are also several ports that must be allowed through firewalls for client communication. Weitere Informationen finden Sie im Abschnitt Steuern des Netzwerkdatenverkehrs.For more information, see the controlling network traffic section.

Hinzufügen von HDInsight zu einem vorhandenen virtuellen NetzwerkAdd HDInsight to an existing virtual network

Führen Sie die Schritte in diesem Abschnitt aus, um zu erfahren, wie Sie einen neuen HDInsight-Cluster einem vorhandenen Azure Virtual Network hinzufügen.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Hinweis

Ein vorhandener HDInsight-Cluster kann in einem virtuellen Netzwerk nicht hinzugefügt werden.You cannot add an existing HDInsight cluster into a virtual network.

  1. Verwenden Sie das klassische oder das Resource Manager-Bereitstellungsmodell für das virtuelle Netzwerk?Are you using a classic or Resource Manager deployment model for the virtual network?

    Für HDInsight 3.4 und höher ist ein virtuelles Resource Manager-Netzwerk erforderlich.HDInsight 3.4 and greater requires a Resource Manager virtual network. In früheren Versionen von HDInsight war ein klassisches virtuelles Netzwerk erforderlich.Earlier versions of HDInsight required a classic virtual network.

    Falls Ihr vorhandenes Netzwerk ein klassisches virtuelles Netzwerk ist, müssen Sie ein virtuelles Resource Manager-Netzwerk erstellen und die beiden Netzwerke dann verbinden.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Herstellen einer Verbindung zwischen klassischen VNets und neuen VNetsConnecting classic VNets to new VNets.

    Nach dem Verknüpfen kann die Installation von HDInsight im Resource Manager-Netzwerk mit Ressourcen im klassischen Netzwerk interagieren.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Verwenden Sie Netzwerksicherheitsgruppen, benutzerdefinierte Routen oder virtuelle Network Appliances, um Datenverkehr einzuschränken, der in das bzw. aus dem virtuellen Netzwerk fließt?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    Als verwalteter Dienst ist für HDInsight der uneingeschränkte Zugriff auf mehrere IP-Adressen im Azure-Rechenzentrum erforderlich.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Aktualisieren Sie alle vorhandenen Netzwerksicherheitsgruppen oder benutzerdefinierten Routen, um die Kommunikation mit diesen IP-Adressen zuzulassen.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    HDInsight hostet mehrere Dienste, für die viele verschiedene Ports verwendet werden.HDInsight hosts multiple services, which use a variety of ports. Verhindern Sie, dass der Datenverkehr für diesen Port blockiert wird.Do not block traffic to these ports. Eine Liste mit Ports, die für Firewalls von virtuellen Geräten zugelassen werden müssen, finden Sie im Abschnitt „Sicherheit“.For a list of ports to allow through virtual appliance firewalls, see the Security section.

    Verwenden Sie die folgenden Azure PowerShell- oder Azure CLI-Befehle, um Ihre vorhandene Sicherheitskonfiguration zu ermitteln:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • NetzwerksicherheitsgruppenNetwork security groups

      Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzNetworkSecurityGroup -ResourceGroupName  "RESOURCEGROUP"
      
      az network nsg list --resource-group RESOURCEGROUP
      

      Weitere Informationen finden Sie im Dokument zur Problembehandlung bei Netzwerksicherheitsgruppen.For more information, see the Troubleshoot network security groups document.

      Wichtig

      Netzwerksicherheitsgruppen-Regeln werden der Reihenfolge nach basierend auf der Regelpriorität angewendet.Network security group rules are applied in order based on rule priority. Die erste Regel, die mit dem Datenverkehrsmuster übereinstimmt, wird angewendet, und auf diesen Datenverkehr werden dann keine anderen Regeln angewendet.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. Sortieren Sie die Regeln von „weniger strikt“ bis „strikt“.Order rules from most permissive to least permissive. Weitere Informationen finden Sie im Dokument Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.For more information, see the Filter network traffic with network security groups document.

    • Benutzerdefinierte RoutenUser-defined routes

      Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzRouteTable -ResourceGroupName "RESOURCEGROUP"
      
      az network route-table list --resource-group RESOURCEGROUP
      

      Weitere Informationen finden Sie im Dokument Problembehandlung bei Routen.For more information, see the Troubleshoot routes document.

  3. Erstellen Sie einen HDInsight-Cluster, und wählen Sie während der Konfiguration die virtuelle Azure-Netzwerk-Instanz aus.Create an HDInsight cluster and select the Azure Virtual Network during configuration. Den Vorgang zur Clustererstellung können Sie anhand der Schritte in den folgenden Dokumenten nachvollziehen:Use the steps in the following documents to understand the cluster creation process:

    Wichtig

    Das Hinzufügen von HDInsight zu einem virtuellen Netzwerk ist ein optionaler Konfigurationsschritt.Adding HDInsight to a virtual network is an optional configuration step. Achten Sie darauf, beim Konfigurieren des Clusters das virtuelle Netzwerk auszuwählen.Be sure to select the virtual network when configuring the cluster.

Verbinden von mehreren NetzwerkenConnecting multiple networks

Die größte Herausforderung bei der Konfiguration von mehreren Netzwerken ist die Namensauflösung zwischen den Netzwerken.The biggest challenge with a multi-network configuration is name resolution between the networks.

Azure ermöglicht die Namensauflösung für Azure-Dienste, die in einem virtuellen Netzwerk installiert sind.Azure provides name resolution for Azure services that are installed in a virtual network. Diese integrierte Namensauflösung erlaubt HDInsight das Herstellen einer Verbindung mit den folgenden Ressourcen, indem ein vollqualifizierter Domänenname (FQDN) verwendet wird:This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • Alle Ressourcen, die im Internet verfügbar sind.Any resource that is available on the internet. Beispiel: „microsoft.com“, „windowsupdate.com“.For example, microsoft.com, windowsupdate.com.

  • Alle Ressourcen, die sich in demselben Azure Virtual Network befinden, indem der interne DNS-Name der Ressource verwendet wird.Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Beim Verwenden der Standardnamensauflösung sind dies Beispiele für interne DNS-Namen, die HDInsight-Workerknoten zugewiesen werden:For example, when using the default name resolution, the following are examples of internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Beide Knoten können direkt miteinander und mit anderen Knoten in HDInsight kommunizieren, indem interne DNS-Namen verwendet werden.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

Bei der Standardnamensauflösung ist es für HDInsight nicht zulässig, die Namen von Ressourcen in Netzwerken aufzulösen, die mit dem virtuellen Netzwerk verknüpft sind.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. Beispielsweise ist es eine gängige Vorgehensweise, Ihr lokales Netzwerk mit dem virtuellen Netzwerk zu verknüpfen.For example, it is common to join your on-premises network to the virtual network. Allein mit der Standardnamensauflösung kann HDInsight nicht anhand des Namens auf Ressourcen im lokalen Netzwerk zugreifen.With only the default name resolution, HDInsight cannot access resources in the on-premises network by name. Das Gegenteil gilt ebenfalls: Ressourcen in Ihrem lokalen Netzwerk können anhand des Namens nicht auf Ressourcen im virtuellen Netzwerk zugreifen.The opposite is also true, resources in your on-premises network cannot access resources in the virtual network by name.

Warnung

Sie müssen den benutzerdefinierten DNS-Server erstellen und das virtuelle Netzwerk für seine Verwendung konfigurieren, bevor Sie den HDInsight-Cluster erstellen.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

Die Ausführung der folgenden Aktionen ist erforderlich, um die Namensauflösung zwischen dem virtuellen Netzwerk und Ressourcen in verknüpften Netzwerken zu aktivieren:To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Erstellen eines benutzerdefinierten DNS-Servers im Azure Virtual Network, in dem Sie die Installation von HDInsight planenCreate a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. Konfigurieren des virtuellen Netzwerks zur Verwendung des benutzerdefinierten DNS-ServersConfigure the virtual network to use the custom DNS server.

  3. Suchen nach dem von Azure zugewiesenen DNS-Suffix für Ihr virtuelles Netzwerk.Find the Azure assigned DNS suffix for your virtual network. Dieser Wert ähnelt diesem Wert: 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. Informationen zum Ermitteln des DNS-Suffix finden Sie im Abschnitt Beispiel: Benutzerdefiniertes DNS.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Konfigurieren der Weiterleitung zwischen den DNS-Servern.Configure forwarding between the DNS servers. Die Konfiguration richtet sich nach dem Typ des Remotenetzwerks.The configuration depends on the type of remote network.

    • Wenn das Remotenetzwerk ein lokales Netzwerk ist, können Sie das DNS wie folgt konfigurieren:If the remote network is an on-premises network, configure DNS as follows:

      • Benutzerdefiniertes DNS (im virtuellen Netzwerk):Custom DNS (in the virtual network):

        • Leiten Sie Anforderungen für das DNS-Suffix des virtuellen Netzwerks an den rekursiven Azure-Resolver (168.63.129.16) weiter.Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). Azure verarbeitet Anforderungen von Ressourcen im virtuellen Netzwerk.Azure handles requests for resources in the virtual network

        • Leiten Sie alle anderen Anforderungen an den lokalen DNS-Server weiter.Forward all other requests to the on-premises DNS server. Das lokale DNS verarbeitet alle anderen Anforderungen der Namensauflösung. Dies gilt auch für Internetressourcen, z.B. „Microsoft.com“.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • Lokales DNS: Leiten Sie Anforderungen für das DNS-Suffix des virtuellen Netzwerks an den benutzerdefinierten DNS-Server weiter.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. Der benutzerdefinierte DNS-Server leitet die Daten dann an den rekursiven Azure-Resolver weiter.The custom DNS server then forwards to the Azure recursive resolver.

        Bei dieser Konfiguration werden Anforderungen von vollqualifizierten Domänennamen, die das DNS-Suffix des virtuellen Netzwerks enthalten, an den benutzerdefinierten DNS-Server weiter.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Alle anderen Anforderungen (auch für öffentliche Internetadressen) werden vom lokalen DNS-Server verarbeitet.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Konfigurieren Sie das DNS wie folgt, wenn das Remotenetzwerk ein anderes Azure Virtual Network ist:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • Benutzerdefiniertes DNS (in jedem virtuellen Netzwerk):Custom DNS (in each virtual network):

        • Anforderungen für das DNS-Suffix der virtuellen Netzwerke werden an die benutzerdefinierten DNS-Server weitergeleitet.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. Das DNS in jedem virtuellen Netzwerk ist für das Auflösen von Ressourcen im jeweiligen Netzwerk verantwortlich.The DNS in each virtual network is responsible for resolving resources within its network.

        • Leiten Sie alle anderen Anforderungen an den rekursiven Azure-Resolver weiter.Forward all other requests to the Azure recursive resolver. Der rekursive Resolver ist für das Auflösen von lokalen Ressourcen und Internetressourcen verantwortlich.The recursive resolver is responsible for resolving local and internet resources.

        Der DNS-Server für jedes Netzwerk leitet Anforderungen jeweils basierend auf dem DNS-Suffix an das andere Netzwerk weiter.The DNS server for each network forwards requests to the other, based on DNS suffix. Andere Anforderungen werden mit dem rekursiven Azure-Resolver aufgelöst.Other requests are resolved using the Azure recursive resolver.

      Ein Beispiel für die einzelnen Konfigurationen finden Sie im Abschnitt Beispiel: Benutzerdefiniertes DNS.For an example of each configuration, see the Example: Custom DNS section.

Weitere Informationen finden Sie im Dokument Namensauflösung für virtuelle Computer und Rolleninstanzen.For more information, see the Name Resolution for VMs and Role Instances document.

Herstellen einer direkten Verbindung mit Apache Hadoop-DienstenDirectly connect to Apache Hadoop services

Sie können unter https://CLUSTERNAME.azurehdinsight.net eine Verbindung mit dem Cluster herstellen.You can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. Diese Adresse verwendet eine öffentliche IP-Adresse, die möglicherweise nicht erreichbar sind, wenn Sie NSGs verwendet haben, um eingehenden Datenverkehr aus dem Internet einzuschränken.This address uses a public IP, which may not be reachable if you have used NSGs to restrict incoming traffic from the internet. Darüber hinaus können Sie bei der Bereitstellung des Clusters in einem VNET mithilfe des privaten Endpunkts https://CLUSTERNAME-int.azurehdinsight.net darauf zugreifen.Additionally, when you deploy the cluster in a VNet you can access it using the private endpoint https://CLUSTERNAME-int.azurehdinsight.net. Dieser Endpunkt wird in eine private IP-Adresse innerhalb des VNET für den Clusterzugriff aufgelöst.This endpoint resolves to a private IP inside the VNet for cluster access.

Verwenden Sie die folgenden Schritte, um über das virtuelle Netzwerk eine Verbindung mit Apache Ambari und anderen Webseiten herzustellen:To connect to Apache Ambari and other web pages through the virtual network, use the following steps:

  1. Verwenden Sie eine der folgenden Methoden, um die internen vollqualifizierten Domänennamen (FQDNs) der HDInsight-Clusterknoten zu ermitteln:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    Ersetzen Sie RESOURCEGROUP durch den Namen der Ressourcengruppe, die das virtuelle Netzwerk enthält, und geben Sie dann diesen Befehl ein:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $clusterNICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP" | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group RESOURCEGROUP --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    Suchen Sie in der Liste mit den zurückgegebenen Knoten nach dem FQDN für die Hauptknoten, und verwenden Sie die FQDNs, um eine Verbindung mit Ambari und anderen Webdiensten herzustellen.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Verwenden Sie beispielsweise http://<headnode-fqdn>:8080, um auf Ambari zuzugreifen.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Wichtig

    Einige der auf den Hauptknoten gehosteten Dienste sind jeweils nur auf einem Knoten aktiv.Some services hosted on the head nodes are only active on one node at a time. Wenn Sie versuchen, auf einen Dienst auf einem der Hauptknoten zuzugreifen, und der Fehler 404 zurückgegeben wird, wechseln Sie zum anderen Hauptknoten.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Informationen dazu, wie Sie den Knoten und Port ermitteln, auf dem ein Dienst verfügbar ist, finden Sie im Dokument Von HDInsight verwendete Ports und URIs.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Steuern des NetzwerkdatenverkehrsControlling network traffic

Verfahren zum Steuern von ein- und ausgehendem Datenverkehr für HDInsight-ClusterTechniques for controlling inbound and outbound traffic to HDInsight clusters

Sie können den Netzwerkdatenverkehr in einem Azure Virtual Network mit den folgenden Methoden steuern:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • Mit Netzwerksicherheitsgruppen (NSGs) können Sie ein- und ausgehenden Datenverkehr für das Netzwerk filtern.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. Weitere Informationen finden Sie im Dokument Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen.For more information, see the Filter network traffic with network security groups document.

  • Virtuelle Netzwerkgeräte (Network Virtual Appliances, NVAs) können nur mit ausgehendem Datenverkehr verwendet werden.Network virtual appliances (NVA) can be used with outbound traffic only. Mit virtuellen Netzwerkgeräten wird die Funktionalität von Geräten, z. B. Firewalls und Routern, repliziert.NVAs replicate the functionality of devices such as firewalls and routers. Weitere Informationen finden Sie im Dokument Network Appliances.For more information, see the Network Appliances document.

Als verwalteter Dienst benötigt HDInsight uneingeschränkten Zugriff auf die HDInsight-Integritäts- und -Verwaltungsdienste für eingehenden und ausgehenden Datenverkehr aus dem VNET.As a managed service, HDInsight requires unrestricted access to the HDInsight health and management services both for incoming and outgoing traffic from the VNET. Beim Verwenden von NSGs und müssen Sie sicherstellen, dass diese Dienste weiterhin mit dem HDInsight-Cluster kommunizieren können.When using NSGs, you must ensure that these services can still communicate with HDInsight cluster.

Diagramm der HDInsight-Entitäten, erstellt in einem benutzerdefinierten virtuellen Azure-Netzwerk

HDInsight mit NetzwerksicherheitsgruppenHDInsight with network security groups

Wenn Sie planen, Netzwerksicherheitsgruppen zum Steuern des Netzwerkdatenverkehrs zu verwenden, sollten Sie vor dem Installieren von HDInsight die folgenden Aktionen durchführen:If you plan on using network security groups to control network traffic, perform the following actions before installing HDInsight:

  1. Identifizieren Sie die Azure-Region, die Sie für HDInsight verwenden möchten.Identify the Azure region that you plan to use for HDInsight.

  2. Identifizieren Sie die IP-Adressen, die für HDInsight erforderlich sind.Identify the IP addresses required by HDInsight. Weitere Informationen finden Sie unter HDInsight management IP addresses (IP-Adressen für die HDInsight-Verwaltung).For more information, see HDInsight management IP addresses.

  3. Erstellen oder ändern Sie die Netzwerksicherheitsgruppen für das Subnetz, in dem Sie HDInsight installieren möchten.Create or modify the network security groups for the subnet that you plan to install HDInsight into.

    • Netzwerksicherheitsgruppen: Lassen Sie eingehenden Datenverkehr über Port 443 für die IP-Adressen zu.Network security groups: allow inbound traffic on port 443 from the IP addresses. Dadurch wird sichergestellt, dass HDInsight-Verwaltungsdienste den Cluster außerhalb des virtuellen Netzwerks erreichen können.This will ensure that HDInsight management services can reach the cluster from outside the virtual network.

Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie in der Übersicht über Netzwerksicherheitsgruppen.For more information on network security groups, see the overview of network security groups.

Steuern des ausgehenden Datenverkehrs der HDInsight-ClusterControlling outbound traffic from HDInsight clusters

Weitere Informationen zum Steuern des ausgehenden Datenverkehrs von HDInsight-Clustern finden Sie unter Konfigurieren von Einschränkungen des ausgehenden Netzwerkdatenverkehrs für Azure HDInsight-Cluster (Vorschau).For more information on controlling outbound traffic from HDInsight clusters, see Configure outbound network traffic restriction for Azure HDInsight clusters.

Tunnelerzwingung für lokale NetzwerkeForced tunneling to on-premise

Die Tunnelerzwingung ist eine benutzerdefinierte Routingkonfiguration, bei der für den gesamten Datenverkehr eines Subnetzes die Weiterleitung in ein bestimmtes Netzwerk bzw. an einen bestimmten Standort erzwungen wird, z.B. Ihr lokales Netzwerk.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight bietet keine Unterstützung für die Tunnelerzwingung bei Datenverkehr zu lokalen Netzwerken.HDInsight does not support forced tunneling of traffic to on-premises networks.

Erforderliche IP-AdressenRequired IP addresses

Sie sollten sich den Abschnitt HDInsight management IP addresses (IP-Adressen für die HDInsight-Verwaltung) ansehen, wenn Sie Netzwerksicherheitsgruppen oder benutzerdefinierte Routen zum Steuern von Datenverkehr verwenden.If you use network security groups or user-defined routes to control traffic, please see HDInsight management IP addresses.

Erforderliche PortsRequired ports

Wenn Sie eine Firewall verwenden und extern über bestimmte Ports auf den Cluster zugreifen möchten, müssen Sie möglicherweise Datenverkehr an den für Ihr Szenario erforderlichen Ports zulassen.If you plan on using a firewall and access the cluster from outside on certain ports, you might need to allow traffic on those ports needed for your scenario. Standardmäßig ist keine spezifische Whitelist von Ports erforderlich, solange der im vorherigen Abschnitt erläuterte Azure-Verwaltungsdatenverkehr für Cluster an Port 443 zulässig ist.By default, no special whitelisting of ports is needed as long as the azure management traffic explained in the previous section is allowed to reach cluster on port 443.

Eine Liste mit Ports für bestimmte Dienste finden Sie im Dokument Ports für Apache Hadoop-Dienste in HDInsight.For a list of ports for specific services, see the Ports used by Apache Hadoop services on HDInsight document.

Weitere Informationen zu Firewallregeln für virtuelle Geräte finden Sie im Dokument Szenario für virtuelle Geräte.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

Nächste SchritteNext steps