Adresses IP de gestion HDInsight
Cet article répertorie les adresses IP utilisées par les services d’intégrité et de gestion Azure HDInsight. Si vous utilisez des groupes de sécurité réseau (NSG) ou des itinéraires définis par l’utilisateur (UDR), vous devrez peut-être ajouter une partie de ces adresses IP à la liste d’autorisation pour le trafic réseau entrant.
Introduction
Important
Dans la plupart des cas, vous pouvez désormais utiliser des balises de service pour les groupes de sécurité réseau au lieu d’ajouter manuellement des adresses IP. Les adresses IP ne seront pas publiées pour les nouvelles régions Azure, seules des balises de service seront publiées. Les adresses IP statiques pour les adresses IP de gestion seront finalement dépréciées.
Si vous utilisez des groupes de sécurité réseau ou des routes définies par l’utilisateur pour contrôler le trafic vers votre cluster HDInsight, vérifiez que votre cluster peut communiquer avec les services de gestion et d’intégrité Azure. Certaines adresses IP sont propres à une région, et d’autres s’appliquent à toutes les régions Azure. Vous devrez peut-être autoriser le trafic provenant du service Azure DNS si vous n’utilisez pas de DNS personnalisé.
Si vous avez besoin d’adresses IP pour une région qui n’est pas mentionnée ici, vous pouvez utiliser l’API Service Tag Discovery pour rechercher des adresses IP pour votre région. Si vous ne parvenez pas à utiliser l’API, téléchargez le fichier JSON d’étiquettes de service, puis recherchez la région de votre choix.
HDInsight effectue une validation pour ces règles avec la création et la mise à l’échelle du cluster afin d’éviter d’autres erreurs. Si la validation ne réussit pas, la création et la mise à l’échelle échouent.
Les sections suivantes traitent des adresses IP spécifiques qui doivent être autorisées.
Service Azure DNS
Si vous utilisez le service DNS fourni par Azure, autorisez l’accès à l’adresse 168.63.129.16 sur le port 53 à la fois pour TCP et UDP. Pour plus d’informations, voir le document Résolution de noms pour les machines virtuelles et les instances de rôle. Si vous utilisez un service DNS personnalisé, ignorez cette étape.
Services de gestion et d'intégrité : Toutes les régions
Autorisez le trafic provenant des adresses IP suivantes pour les services de gestion et d’intégrité Azure HDInsight, qui s’appliquent à toutes les régions Azure :
| Adresse IP source | Destination | Sens |
|---|---|---|
| 168.61.49.99 | *:443 | Trafic entrant |
| 23.99.5.239 | *:443 | Trafic entrant |
| 168.61.48.131 | *:443 | Trafic entrant |
| 138.91.141.162 | *:443 | Trafic entrant |
Services de gestion et d'intégrité : Régions spécifiques
Autorisez le trafic provenant des adresses IP répertoriées pour les services de gestion et d’intégrité Azure HDInsight dans la région Azure spécifique où vos ressources sont situées. Veuillez consulter la note suivante :
Important
Nous vous recommandons d’utiliser la fonctionnalité étiquette de service pour les groupes de sécurité réseau. Si vous avez besoin d’étiquettes de service spécifiques à une région, veuillez consulter la rubrique Plages d’adresses IP Azure et étiquettes de service – Cloud public.
Pour plus d’informations sur les adresses IP à utiliser pour Azure Government, voir le document Intelligence et analyse Azure Government.
Pour plus d’informations, consultez Contrôler le trafic réseau.
Si vous utilisez des itinéraires définis par l’utilisateur, vous devez spécifier une itinéraire, puis autoriser le trafic sortant du réseau virtuel vers les adresses IP ci-dessus avec le tronçon suivant défini sur « Internet ».