Az Azure Virtual Network használata Azure HDInsight kiterjesztéseExtend Azure HDInsight using an Azure Virtual Network

Ismerje meg, hogyan használható a HDInsight- Azure Virtual Network.Learn how to use HDInsight with an Azure Virtual Network. Az Azure Virtual Network használatával lehetővé teszi, hogy a következő esetekben:Using an Azure Virtual Network enables the following scenarios:

  • Csatlakozás a HDInsight közvetlenül a helyi hálózatról.Connecting to HDInsight directly from an on-premises network.

  • HDInsight-adatokhoz való csatlakozásról tárolja egy Azure-beli virtuális hálózathoz.Connecting HDInsight to data stores in an Azure Virtual network.

  • Közvetlen hozzáférés Apache Hadoop szolgáltatásokat, amelyek nem érhető el nyilvánosan az interneten keresztül.Directly accessing Apache Hadoop services that are not available publicly over the internet. Ha például Apache Kafka API-k vagy a Apache HBase Java API-t.For example, Apache Kafka APIs or the Apache HBase Java API.

Fontos

2019. február 28., miután a hálózati erőforrások (például a hálózati adapterek, LBs stb.) egy virtuális hálózaton létrehozott új fürtök esetében a HDInsight fürt azonos erőforráscsoportban jön létre.After Feb 28, 2019, the networking resources (such as NICs, LBs, etc) for NEW clusters created in a VNET will be provisioned in the same HDInsight cluster resource group. Korábban ezeket az erőforrásokat kiépített virtuális hálózat az erőforráscsoportban.Previously, these resources were provisioned in the VNET resource group. Nem történik változás az aktuális futó fürtök és ezeket a virtuális hálózat nélkül létrehozott fürtök.There is no change to the current running clusters and those clusters created without a VNET.

Kódminták és példák előfeltételeiPrerequisites for code samples and examples

  • A TCP/IP-hálózat megismerése.An understanding of TCP/IP networking. Ha nem ismeri a TCP/IP-hálózat, meg kell partneri valakivel, aki a módosításokat éles hálózati környezetben a végrehajtása előtt.If you are not familiar with TCP/IP networking, you should partner with someone who is before making modifications to production networks.
  • Ha a PowerShell használatával, akkor a AZ modul.If using PowerShell, you will need the AZ Module.
  • Ha szeretnék használni az Azure CLI-vel, és még nem telepítette azt, lásd: az Azure CLI telepítése.If wanting to use Azure CLI and you have not yet installed it, see Install the Azure CLI.

Fontos

Ha a csatlakozás részletes útmutatást HDInsight, a helyszíni hálózat az Azure Virtual Network használatával, lásd: a HDInsight csatlakoztatása a helyszíni hálózathoz dokumentumot.If you are looking for step by step guidance on connecting HDInsight to your on-premises network using an Azure Virtual Network, see the Connect HDInsight to your on-premises network document.

TervezésPlanning

A kérdéseket, amelyeket a HDInsight telepítése egy virtuális hálózat megtervezése során választ kell adnia a következők:The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Telepítse a HDInsight egy meglévő virtuális hálózatban kell?Do you need to install HDInsight into an existing virtual network? Vagy új hálózat létrehozásakor?Or are you creating a new network?

    Ha egy meglévő virtuális hálózatot használ, szükség lehet a hálózati konfiguráció módosításához a HDInsight telepítése előtt.If you are using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. További információkért lásd: a HDInsight hozzáadása egy meglévő virtuális hálózatot szakaszban.For more information, see the add HDInsight to an existing virtual network section.

  • Szeretné a virtuális hálózat, amely tartalmazza a HDInsight egy másik virtuális hálózathoz vagy a helyszíni hálózat csatlakoztatása?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Segítségével egyszerűen dolgozhat erőforrások hálózatok között, szükség lehet egy egyéni DNS létrehozása és konfigurálása a DNS-továbbítást.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. További információkért lásd: a networkök összekapcsolása szakaszban.For more information, see the connecting multiple networks section.

  • Biztosan korlátozza/átirányítási HDInsight bejövő vagy kimenő forgalmat?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    HDInsight üzemmódban kommunikáció az adott IP-címek az Azure-adatközpontban.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Is találhatók, amelyek az ügyfél-kommunikációhoz tűzfalon keresztül kell engedélyezett számos portot.There are also several ports that must be allowed through firewalls for client communication. További információkért lásd: a hálózati forgalom szabályozása szakaszban.For more information, see the controlling network traffic section.

HDInsight hozzáadása egy meglévő virtuális hálózatotAdd HDInsight to an existing virtual network

Kövesse a lépéseket ebben a szakaszban egy új HDInsight hozzáadása egy meglévő Azure virtuális hálózat felderítése.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Megjegyzés

Nem adhat hozzá egy meglévő HDInsight-fürtöt egy virtuális hálózatban.You cannot add an existing HDInsight cluster into a virtual network.

  1. Használja a klasszikus vagy Resource Manager üzemi modell esetében a virtuális hálózat?Are you using a classic or Resource Manager deployment model for the virtual network?

    HDInsight 3.4-es és újabb egy Resource Manager virtuális hálózatra van szükség.HDInsight 3.4 and greater requires a Resource Manager virtual network. HDInsight korábbi verzióiban egy klasszikus virtuális hálózat szükséges.Earlier versions of HDInsight required a classic virtual network.

    Ha a meglévő hálózat egy klasszikus virtuális hálózat, ezután kell hozzon létre egy Resource Manager virtuális hálózatot, és hogyan csatlakozhat a két.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Klasszikus virtuális hálózatok csatlakoztatása új virtuális hálózatokhoz.Connecting classic VNets to new VNets.

    Miután csatlakozott, a Resource Manager-hálózaton telepített HDInsight kezelheti a klasszikus hálózati erőforrásokhoz.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Használják-e a kényszerített bújtatást?Do you use forced tunneling? Kényszerített bújtatás az alhálózat-beállítással, amely kényszeríti a kimenő internetes forgalmat egy eszközön, az ellenőrzés és naplózás.Forced tunneling is a subnet setting that forces outbound Internet traffic to a device for inspection and logging. HDInsight nem támogatja a kényszerített bújtatás.HDInsight does not support forced tunneling. Távolítsa el a kényszerített bújtatás HDInsight egy meglévő alhálózat egy környezetbe való üzembe helyezés előtt, vagy hozzon létre egy új alhálózatot a HDInsight nem kényszerített bújtatással.Either remove forced tunneling before deploying HDInsight into an existing subnet, or create a new subnet with no forced tunneling for HDInsight.

  3. Használják a hálózati biztonsági csoportok, a felhasználó által megadott útvonalakat vagy a virtuális hálózati berendezések irányuló forgalom korlátozásához, vagy onnan máshová a virtuális hálózaton?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    Felügyelt szolgáltatásként a HDInsight több IP-címek az Azure-adatközpontban korlátlan hozzáférést igényel.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Engedélyezi a kommunikációt az ezen IP-címek, bármely meglévő hálózati biztonsági csoportok vagy a felhasználó által megadott útvonalak frissítése.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    HDInsight különböző portok használata több szolgáltatások üzemelteti.HDInsight hosts multiple services, which use a variety of ports. Ne blokkolják ezeket a portokat a forgalmat.Do not block traffic to these ports. Engedélyezett a virtuális készülék tűzfalak, portok listáját tekintse meg a biztonsági szakaszt.For a list of ports to allow through virtual appliance firewalls, see the Security section.

    A meglévő biztonsági konfiguráció, használja a következő Azure PowerShell vagy az Azure CLI-parancsokat:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • Network security groups (Hálózati biztonsági csoportok)Network security groups

      Cserélje le RESOURCEGROUP , amely tartalmazza a virtuális hálózathoz, és írja be a parancsot az erőforráscsoport nevét:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzNetworkSecurityGroup -ResourceGroupName  "RESOURCEGROUP"
      
      az network nsg list --resource-group RESOURCEGROUP
      

      További információkért lásd: a hálózati biztonsági csoportok hibaelhárítása dokumentumot.For more information, see the Troubleshoot network security groups document.

      Fontos

      Hálózati biztonsági csoport szabályait alkalmazza a rendszer a szabály prioritása alapján.Network security group rules are applied in order based on rule priority. Az első szabály, amely megfelel a forgalmi minták alkalmazzák, és nincs más lépnek érvénybe, hogy a forgalom.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. A legalacsonyabb a leginkább megengedő szabályok sorrendben.Order rules from most permissive to least permissive. További információkért lásd: a hálózati biztonsági csoportokkal a hálózati forgalom szűrése dokumentumot.For more information, see the Filter network traffic with network security groups document.

    • Felhasználó által megadott útvonalakUser-defined routes

      Cserélje le RESOURCEGROUP , amely tartalmazza a virtuális hálózathoz, és írja be a parancsot az erőforráscsoport nevét:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzRouteTable -ResourceGroupName "RESOURCEGROUP"
      
      az network route-table list --resource-group RESOURCEGROUP
      

      További információkért lásd: a útvonalakkal kapcsolatos hibaelhárítás dokumentumot.For more information, see the Troubleshoot routes document.

  4. Hozzon létre egy HDInsight-fürtöt, és válassza ki az Azure Virtual Network konfigurálása során.Create an HDInsight cluster and select the Azure Virtual Network during configuration. A fürt létrehozását megértéséhez használja az alábbi dokumentumokban lépéseket:Use the steps in the following documents to understand the cluster creation process:

    Fontos

    Egy választható konfigurációs lépés HDInsight ad hozzá egy virtuális hálózaton.Adding HDInsight to a virtual network is an optional configuration step. Mindenképpen jelölje ki a virtuális hálózat, a fürt konfigurálása során.Be sure to select the virtual network when configuring the cluster.

Több hálózat csatlakoztatásaConnecting multiple networks

A legnagyobb kihívás több hálózati konfigurációval rendelkező névfeloldás a hálózatok között.The biggest challenge with a multi-network configuration is name resolution between the networks.

Az Azure névfeloldás kínál Azure-szolgáltatások telepítve vannak a virtuális hálózat.Azure provides name resolution for Azure services that are installed in a virtual network. A beépített névfeloldás lehetővé teszi, hogy a HDInsight egy teljesen minősített tartománynevét (FQDN) használatával a következő erőforrások eléréséhez:This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • Bármilyen erőforrás, amely az interneten érhető el.Any resource that is available on the internet. Például a Microsoft.com webhelyre mutat, windowsupdate.com.For example, microsoft.com, windowsupdate.com.

  • Bármilyen erőforrás, amely az azonos Azure Virtual Network használatával a belső DNS-név az erőforrás.Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Például az alapértelmezett névfeloldás használata esetén a következők példa HDInsight munkavégző csomópontokhoz rendelt belső DNS-nevek:For example, when using the default name resolution, the following are example internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Mindkét ezek a csomópontok közvetlenül kommunikálhatnak egymással, és a HDInsight, a többi csomópont belső DNS-nevek használatával.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

Az alapértelmezett névhozzárendelés does nem lehetővé teszik a HDInsight-erőforrások a hálózatok, a virtuális hálózathoz csatlakozó a nevek feloldásához.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. Ha például szokás a helyszíni hálózat csatlakoztatása a virtuális hálózat.For example, it is common to join your on-premises network to the virtual network. Csak az alapértelmezett a névfeloldás HDInsight nem fér hozzá a helyszíni hálózaton található erőforrások neve szerint.With only the default name resolution, HDInsight cannot access resources in the on-premises network by name. Ennek az ellenkezője is igaz, a helyszíni hálózati erőforrások nem lehet hozzáférni az erőforrásokhoz a virtuális hálózat neve.The opposite is also true, resources in your on-premises network cannot access resources in the virtual network by name.

Figyelmeztetés

Hozzon létre egyéni DNS-kiszolgáló és a virtuális hálózat a használatára a HDInsight-fürt létrehozása előtt konfigurálnia kell.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

A virtuális hálózat és a csatlakoztatott hálózatokon lévő erőforrások közötti névfeloldás engedélyezéséhez hajtsa végre a következő műveleteket:To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Hozzon létre egy egyéni DNS-kiszolgálót az Azure Virtual Network, ha azt tervezi, hogy a HDInsight telepítése.Create a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. A virtuális hálózat használatához az egyéni DNS-kiszolgáló konfigurálása.Configure the virtual network to use the custom DNS server.

  3. Keresse meg az Azure a virtuális hálózat DNS-utótag rendelve.Find the Azure assigned DNS suffix for your virtual network. Ez az érték hasonlít a 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. A keresés, a DNS-utótag információkért lásd: a példa: Egyéni DNS szakaszban.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Configure forwarding between the DNS servers.Configure forwarding between the DNS servers. A konfiguráció attól függ, hogy a távoli hálózat típusát.The configuration depends on the type of remote network.

    • Ha a távoli hálózat egy helyszíni hálózattal, konfigurálja a DNS módon:If the remote network is an on-premises network, configure DNS as follows:

      • Egyéni DNS (az a virtuális hálózat esetén):Custom DNS (in the virtual network):

        • Az Azure rekurzív feloldó (168.63.129.16) a virtuális hálózat DNS-utótagját kérelmeket továbbítsa.Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). Azure virtuális hálózatban lévő erőforrásokra vonatkozó kéréseket kezeliAzure handles requests for resources in the virtual network

        • Továbbíthatja a helyi DNS-kiszolgáló minden más kérelemhez.Forward all other requests to the on-premises DNS server. A helyi DNS-ben kezeli az összes többi névfeloldási, még akkor is, kérelmek, az internetes erőforrásokhoz, például a Microsoft.com webhelyre mutat.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • A helyszíni DNS: A kérelmeket továbbítsa a virtuális hálózat DNS-utótag egyéni DNS-kiszolgálóra.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. Az egyéni DNS-kiszolgáló ezután továbbítja az Azure rekurzív feloldó.The custom DNS server then forwards to the Azure recursive resolver.

        A konfiguráció útvonalak kérelmek teljesen minősített tartományneveket tartalmazó egyéni DNS-kiszolgálóra a virtuális hálózat DNS-utótagját.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Minden más kérelemhez (akár a nyilvános internet-címekhez) a helyi DNS-kiszolgáló kezeli.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Ha a távoli hálózat egy másik Azure Virtual Network, konfigurálja a DNS módon:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • Egyéni DNS (az egyes virtuális hálózatok):Custom DNS (in each virtual network):

        • A virtuális hálózat DNS-utótagját a kérelmeket a rendszer az egyéni DNS-kiszolgálókra továbbítja.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. A DNS-ben az egyes virtuális hálózatok feladata a hálózaton belüli erőforrások feloldása.The DNS in each virtual network is responsible for resolving resources within its network.

        • Minden más kérelemhez továbbítja az Azure rekurzív feloldó.Forward all other requests to the Azure recursive resolver. A rekurzív feloldó helyi megoldása és az internetes erőforrások felelős.The recursive resolver is responsible for resolving local and internet resources.

        A DNS-kiszolgáló esetében minden egyes hálózati továbbítja a kérelmeket a másik alapján DNS-utótagot.The DNS server for each network forwards requests to the other, based on DNS suffix. Az Azure rekurzív feloldó használata más kérelmek elhárulnak.Other requests are resolved using the Azure recursive resolver.

      Az egyes konfigurációkhoz egy példa: a példa: Egyéni DNS szakaszban.For an example of each configuration, see the Example: Custom DNS section.

További információkért lásd: a virtuális gépek és Szerepkörpéldányok névfeloldása dokumentumot.For more information, see the Name Resolution for VMs and Role Instances document.

Közvetlenül kapcsolódhat az Apache Hadoop-szolgáltatásokhozDirectly connect to Apache Hadoop services

Csatlakozhat a fürthöz https://CLUSTERNAME.azurehdinsight.net.You can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. A cím egy nyilvános IP-címet használja, ami nem feltétlenül érhető el, ha az NSG-k segítségével az internetről bejövő forgalom korlátozása.This address uses a public IP, which may not be reachable if you have used NSGs to restrict incoming traffic from the internet. Emellett a fürt egy virtuális hálózaton üzembe hozzá tud férni a privát végpont használatával https://CLUSTERNAME-int.azurehdinsight.net.Additionally, when you deploy the cluster in a VNet you can access it using the private endpoint https://CLUSTERNAME-int.azurehdinsight.net. Ez a végpont a fürt hozzáférés a virtuális hálózaton belül egy privát IP-cím mutat.This endpoint resolves to a private IP inside the VNet for cluster access.

Az Apache Ambari és a más weblapok, a virtuális hálózaton keresztül csatlakozni, használja az alábbi lépéseket:To connect to Apache Ambari and other web pages through the virtual network, use the following steps:

  1. A HDInsight-fürtcsomópontok keresheti meg a belső teljesen minősített tartománynevet (FQDN), használja a következő módszerek egyikét:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    Cserélje le RESOURCEGROUP , amely tartalmazza a virtuális hálózathoz, és írja be a parancsot az erőforráscsoport nevét:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $clusterNICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP" | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group RESOURCEGROUP --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    A csomópontok visszaadott listában keresse meg a teljes tartománynév a fő csomópontok, és a teljes tartománynevek használatával csatlakozik az Ambari és más webes szolgáltatásokat.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Például http://<headnode-fqdn>:8080 Ambari eléréséhez.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Fontos

    Néhány az átjárócsomópontokkal üzemeltetett szolgáltatásokra: csak az egyik csomóponton aktív egyszerre.Some services hosted on the head nodes are only active on one node at a time. Próbálja meg a szolgáltatás az egyik fő csomópont és a 404-es hibát ad vissza, ha átvált a fő csomópontot.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Annak megállapításához, a csomópont és a portot, amelyet egy szolgáltatás érhető el, tekintse meg a HDInsight Hadoop-szolgáltatások által használt portok dokumentumot.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Hálózati forgalom szabályozásaControlling network traffic

A HDInsight-fürtök a bejövő és kimenő forgalom szabályozása technikákTechniques for controlling inbound and outbound traffic to HDInsight clusters

Egy Azure-beli virtuális hálózatok hálózati forgalmához szabályozhatja a következő módszerekkel:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • Hálózati biztonsági csoportok (NSG) lehetővé teszi a hálózati bejövő és kimenő forgalom szűrését.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. További információkért lásd: a hálózati biztonsági csoportokkal a hálózati forgalom szűrése dokumentumot.For more information, see the Filter network traffic with network security groups document.

  • Hálózati virtuális berendezések (NVA) csak a kimenő forgalmat is használható.Network virtual appliances (NVA) can be used with outbound traffic only. Az nva-k az eszközök, például a tűzfalak és az útválasztók funkciójának replikálni.NVAs replicate the functionality of devices such as firewalls and routers. További információkért lásd: a hálózati berendezések dokumentumot.For more information, see the Network Appliances document.

Felügyelt szolgáltatásként HDInsight a HDInsight állapota nem korlátozott hozzáférésre van szüksége, és felügyeleti szolgáltatásokat, mind a bejövő és kimenő forgalmat a virtuális hálózatról.As a managed service, HDInsight requires unrestricted access to the HDInsight health and management services both for incoming and outgoing traffic from the VNET. Az NSG-k használata esetén győződjön meg róla, hogy ezek a szolgáltatások továbbra is kommunikál HDInsight-fürt.When using NSGs, you must ensure that these services can still communicate with HDInsight cluster.

Az Azure egyéni virtuális hálózatban létrehozott HDInsight entitásokat ábrája

HDInsight hálózati biztonsági csoportokkalHDInsight with network security groups

Ha azt tervezi, hogy használatával hálózati biztonsági csoportok szabályozhatja a hálózati forgalom, a HDInsight telepítése előtt a következő műveletek végrehajtásához:If you plan on using network security groups to control network traffic, perform the following actions before installing HDInsight:

  1. Azonosítsa az Azure-régióban, amely a HDInsight használatát tervezi.Identify the Azure region that you plan to use for HDInsight.

  2. Azonosíthatja a HDInsight által igényelt IP-címeket.Identify the IP addresses required by HDInsight. További információkért lásd: a HDInsight által igényelt IP-címek szakaszban.For more information, see the IP Addresses required by HDInsight section.

  3. Hozzon létre vagy módosítsa a hálózati biztonsági csoportot az alhálózathoz, amelyhez be HDInsight telepíteni szeretné.Create or modify the network security groups for the subnet that you plan to install HDInsight into.

    • Hálózati biztonsági csoportok: engedélyezése bejövő port forgalmát 443-as IP-címek.Network security groups: allow inbound traffic on port 443 from the IP addresses. Ez biztosítja, hogy a HDInsight szolgáltatásokat elérheti a fürt a virtuális hálózaton kívülről.This will ensure that HDInsight management services can reach the cluster from outside the virtual network.

Hálózati biztonsági csoportokkal kapcsolatos további információkért lásd: a hálózati biztonsági csoportok áttekintése.For more information on network security groups, see the overview of network security groups.

HDInsight-fürtök kimenő forgalom szabályozásaControlling outbound traffic from HDInsight clusters

HDInsight-fürtök kimenő forgalom szabályozásával kapcsolatban további információkért lásd: kimenő hálózati forgalom korlátozása konfigurálása az Azure HDInsight-fürtök.For more information on controlling outbound traffic from HDInsight clusters, see Configure outbound network traffic restriction for Azure HDInsight clusters.

Kényszerített bújtatás helyszíniForced tunneling to on-premise

Kényszerített bújtatás egy felhasználó által meghatározott útválasztási konfigurációja ahol alhálózatból származó összes forgalom kényszerített egy adott hálózaton vagy a helyen, például a helyszíni hálózathoz.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight does nem támogatási kényszerített bújtatás a forgalom a helyszíni hálózathoz.HDInsight does not support forced tunneling of traffic to on-premises networks.

Szükséges IP-címekRequired IP addresses

Fontos

Az Azure-állapot és a felügyeleti szolgáltatások kommunikálni a HDInsight képesnek kell lennie.The Azure health and management services must be able to communicate with HDInsight. A hálózati biztonsági csoportok vagy a felhasználó által megadott útvonalakat, ha ezeknek a szolgáltatásoknak a HDInsight eléréséhez az IP-címekről érkező forgalom.If you use network security groups or user-defined routes, allow traffic from the IP addresses for these services to reach HDInsight.

Ha nem használja a hálózati biztonsági csoportok vagy felhasználó által megadott útvonalak forgalom szabályozása, figyelmen kívül hagyhatja ebben a szakaszban.If you do not use network security groups or user-defined routes to control traffic, you can ignore this section.

Ha hálózati biztonsági csoportokat használ, engedélyeznie kell az Azure állapota és a felügyeleti szolgáltatások elérni a HDInsight-fürtök 443-as porton érkező forgalmat.If you use network security groups, you must allow traffic from the Azure health and management services to reach HDInsight clusters on port 443. Az alhálózaton belüli virtuális gépek közötti forgalmat is engedélyeznie kell.You must also allow traffic between VMs inside the subnet. Az alábbi lépések segítségével engedélyezni kell az IP-címek keresése:Use the following steps to find the IP addresses that must be allowed:

  1. Mindig engedélyeznie kell a következő IP-címekről érkező forgalmat:You must always allow traffic from the following IP addresses:

    Forrás IP-címeSource IP address CélDestination DirectionDirection
    168.61.49.99168.61.49.99 *:443*:443 BejövőInbound
    23.99.5.23923.99.5.239 *:443*:443 BejövőInbound
    168.61.48.131168.61.48.131 *:443*:443 BejövőInbound
    138.91.141.162138.91.141.162 *:443*:443 BejövőInbound
  2. Ha a HDInsight-fürt a következő régiók valamelyikében van, majd engedélyeznie kell a régió felsorolt IP-címekről érkező forgalmat:If your HDInsight cluster is in one of the following regions, then you must allow traffic from the IP addresses listed for the region:

    Fontos

    Ha nem szerepel az Azure-régiót használ, csak használja az 1. lépésben négy IP-címek.If the Azure region you are using is not listed, then only use the four IP addresses from step 1.

    OrszágCountry RégióRegion Engedélyezett forrás IP-címeiAllowed Source IP addresses Engedélyezett célAllowed Destination DirectionDirection
    ÁzsiaAsia Kelet-ÁzsiaEast Asia 23.102.235.12223.102.235.122
    52.175.38.13452.175.38.134
    *:443*:443 BejövőInbound
      Délkelet-ÁzsiaSoutheast Asia 13.76.245.16013.76.245.160
    13.76.136.24913.76.136.249
    *:443*:443 BejövőInbound
    AusztráliaAustralia Ausztrália középső régiójaAustralia Central 20.36.36.3320.36.36.33
    20.36.36.19620.36.36.196
    *:443*:443 BejövőInbound
      Kelet-AusztráliaAustralia East 104.210.84.115104.210.84.115
    13.75.152.19513.75.152.195
    *:443*:443 BejövőInbound
      Délkelet-AusztráliaAustralia Southeast 13.77.2.5613.77.2.56
    13.77.2.9413.77.2.94
    *:443*:443 BejövőInbound
    BrazíliaBrazil Dél-BrazíliaBrazil South 191.235.84.104191.235.84.104
    191.235.87.113191.235.87.113
    *:443*:443 BejövőInbound
    KanadaCanada Kelet-KanadaCanada East 52.229.127.9652.229.127.96
    52.229.123.17252.229.123.172
    *:443*:443 BejövőInbound
      Közép-KanadaCanada Central 52.228.37.6652.228.37.66
    52.228.45.22252.228.45.222
    *: 443*: 443 BejövőInbound
    KínaChina Észak-KínaChina North 42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219

    42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157
    *:443*:443 BejövőInbound
      Kelet-KínaChina East 42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157

    42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219
    *:443*:443 BejövőInbound
      Észak-Kína 2China North 2 40.73.37.14140.73.37.141
    40.73.38.17240.73.38.172
    *:443*:443 BejövőInbound
      Kelet-Kína 2China East 2 139.217.227.106139.217.227.106
    139.217.228.187139.217.228.187
    *:443*:443 BejövőInbound
    EurópaEurope Észak-EurópaNorth Europe 52.164.210.9652.164.210.96
    13.74.153.13213.74.153.132
    *:443*:443 BejövőInbound
      Nyugat-EurópaWest Europe 52.166.243.9052.166.243.90
    52.174.36.24452.174.36.244
    *:443*:443 BejövőInbound
    FranciaországFrance Közép-FranciaországFrance Central 20.188.39.6420.188.39.64
    40.89.157.13540.89.157.135
    *:443*:443 BejövőInbound
    NémetországGermany Közép-NémetországGermany Central 51.4.146.6851.4.146.68
    51.4.146.8051.4.146.80
    *:443*:443 BejövőInbound
      Északkelet-NémetországGermany Northeast 51.5.150.13251.5.150.132
    51.5.144.10151.5.144.101
    *:443*:443 BejövőInbound
    IndiaIndia Közép-IndiaCentral India 52.172.153.20952.172.153.209
    52.172.152.4952.172.152.49
    *:443*:443 BejövőInbound
      Dél-IndiaSouth India 104.211.223.67104.211.223.67
    104.211.216.210104.211.216.210
    *:443*:443 BejövőInbound
    JapánJapan Kelet-JapánJapan East 13.78.125.9013.78.125.90
    13.78.89.6013.78.89.60
    *:443*:443 BejövőInbound
      Nyugat-JapánJapan West 40.74.125.6940.74.125.69
    138.91.29.150138.91.29.150
    *:443*:443 BejövőInbound
    KoreaKorea Korea középső régiójaKorea Central 52.231.39.14252.231.39.142
    52.231.36.20952.231.36.209
    *:443*:443 BejövőInbound
      Korea déli régiójaKorea South 52.231.203.1652.231.203.16
    52.231.205.21452.231.205.214
    *:443*:443 BejövőInbound
    Egyesült KirályságUnited Kingdom Az Egyesült Királyság nyugati régiójaUK West 51.141.13.11051.141.13.110
    51.141.7.2051.141.7.20
    *:443*:443 BejövőInbound
      Az Egyesült Királyság déli régiójaUK South 51.140.47.3951.140.47.39
    51.140.52.1651.140.52.16
    *:443*:443 BejövőInbound
    Egyesült ÁllamokUnited States USA középső régiójaCentral US 13.89.171.12213.89.171.122
    13.89.171.12413.89.171.124
    *:443*:443 BejövőInbound
      USA keleti régiójaEast US 13.82.225.23313.82.225.233
    40.71.175.9940.71.175.99
    *:443*:443 BejövőInbound
      USA északi középső régiójaNorth Central US 157.56.8.38157.56.8.38
    157.55.213.99157.55.213.99
    *:443*:443 BejövőInbound
      USA nyugati középső régiójaWest Central US 52.161.23.1552.161.23.15
    52.161.10.16752.161.10.167
    *:443*:443 BejövőInbound
      USA nyugati régiójaWest US 13.64.254.9813.64.254.98
    23.101.196.1923.101.196.19
    *:443*:443 BejövőInbound
      USA nyugati régiója, 2.West US 2 52.175.211.21052.175.211.210
    52.175.222.22252.175.222.222
    *:443*:443 BejövőInbound

    Az IP-címek az Azure Government használatára vonatkozó információért lásd: a Azure Government intelligencia és elemzés dokumentumot.For information on the IP addresses to use for Azure Government, see the Azure Government Intelligence + Analytics document.

  3. Is engedélyeznie kell a hozzáférést a 168.63.129.16.You must also allow access from 168.63.129.16. Ez a cím az Azure rekurzív feloldó.This address is Azure's recursive resolver. További információkért lásd: a névfeloldás virtuális gépek és a szerepkör példányai dokumentumot.For more information, see the Name resolution for VMs and Role instances document.

További információkért lásd: a hálózati forgalom szabályozása szakaszban.For more information, see the Controlling network traffic section.

Ha a felhasználó által definiált routes(UDRs) használ, adjon meg egy útvonalat, és engedélyezi a kimenő forgalmat a virtuális hálózatról a fenti IP-címek a következő ugrás "Internet" értékre.If you are using user-defined routes(UDRs), you should specify a route and allow outbound traffic from the VNET to the above IPs with the next hop set to "Internet".

Szükséges portokRequired ports

Ha a kíván használni egy tűzfal és hozzáférjen a fürthöz kívül bizonyos portokon kell, hogy előfordulhat, hogy engedélyezi a forgalmat az ezeket a portokat a forgatókönyvhöz szükséges.If you plan on using a firewall and access the cluster from outside on certain ports, you might need to allow traffic on those ports needed for your scenario. Alapértelmezés szerint a portok nincsenek különleges engedélyezési mindaddig, amíg az előző szakaszban ismertetett azure felügyeleti adatforgalmat engedélyezett 443-as portot a fürt eléréséhez szükséges.By default, no special whitelisting of ports is needed as long as the azure management traffic explained in the previous section is allowed to reach cluster on port 443.

Adott szolgáltatások portok listáját lásd: a HDInsight az Apache Hadoop-szolgáltatások által használt portok dokumentumot.For a list of ports for specific services, see the Ports used by Apache Hadoop services on HDInsight document.

A virtuális készülékek vonatkozó tűzfalszabályok további információkért lásd: a virtuális berendezésre telepítik dokumentumot.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

Példa: a hálózati biztonsági csoportok a HDInsightExample: network security groups with HDInsight

Ebben a szakaszban szereplő példák bemutatják, hogyan hozhat létre hálózati biztonsági csoportszabályok, amelyek lehetővé teszik a HDInsight az Azure felügyeleti szolgáltatásokkal kommunikálni.The examples in this section demonstrate how to create network security group rules that allow HDInsight to communicate with the Azure management services. Használata előtt a példákat, módosítsa az IP-címek egyeznek azokkal az Azure-régiót használ.Before using the examples, adjust the IP addresses to match the ones for the Azure region you are using. Ezt az információt talál a a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak HDInsight szakaszban.You can find this information in the HDInsight with network security groups and user-defined routes section.

Az Azure Resource Management-sablonnalAzure Resource Management template

Az alábbi Resource Management-sablont hoz létre egy virtuális hálózatot, amely korlátozza a bejövő forgalmat, de lehetővé teszi, hogy a HDInsight által igényelt IP-címekről érkező forgalom.The following Resource Management template creates a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight. Ez a sablon is létrehoz egy HDInsight-fürt a virtuális hálózatban.This template also creates an HDInsight cluster in the virtual network.

Azure PowerShellAzure PowerShell

A következő PowerShell-parancsfájl használatával hozzon létre egy virtuális hálózatot, amely korlátozza a bejövő forgalmat, és lehetővé teszi az észak-európai régióban IP-címekről érkező forgalom.Use the following PowerShell script to create a virtual network that restricts inbound traffic and allows traffic from the IP addresses for the North Europe region.

Fontos

Módosítsa az IP-címek hdirule1 és hdirule2 ebben a példában az Azure-régiót használ megfelelően.Change the IP addresses for hdirule1 and hdirule2 in this example to match the Azure region you are using. Ezt az információt talál a a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak HDInsight szakaszban.You can find this information in the HDInsight with network security groups and user-defined routes section.

$vnetName = "Replace with your virtual network name"
$resourceGroupName = "Replace with the resource group the virtual network is in"
$subnetName = "Replace with the name of the subnet that you plan to use for HDInsight"

# Get the Virtual Network object
$vnet = Get-AzVirtualNetwork `
    -Name $vnetName `
    -ResourceGroupName $resourceGroupName

# Get the region the Virtual network is in.
$location = $vnet.Location

# Get the subnet object
$subnet = $vnet.Subnets | Where-Object Name -eq $subnetName

# Create a Network Security Group.
# And add exemptions for the HDInsight health and management services.
$nsg = New-AzNetworkSecurityGroup `
    -Name "hdisecure" `
    -ResourceGroupName $resourceGroupName `
    -Location $location `
    | Add-AzNetworkSecurityRuleConfig `
        -name "hdirule1" `
        -Description "HDI health and management address 52.164.210.96" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "52.164.210.96" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 300 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule2" `
        -Description "HDI health and management 13.74.153.132" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "13.74.153.132" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 301 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule3" `
        -Description "HDI health and management 168.61.49.99" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.49.99" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 302 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule4" `
        -Description "HDI health and management 23.99.5.239" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "23.99.5.239" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 303 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule5" `
        -Description "HDI health and management 168.61.48.131" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.48.131" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 304 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule6" `
        -Description "HDI health and management 138.91.141.162" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "138.91.141.162" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 305 `
        -Direction Inbound `

# Set the changes to the security group
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

# Apply the NSG to the subnet
Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $vnet `
    -Name $subnetName `
    -AddressPrefix $subnet.AddressPrefix `
    -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Ez a példa bemutatja, hogyan szabályok engedélyezik a bejövő forgalmat a szükséges IP-címek hozzáadása.This example demonstrates how to add rules to allow inbound traffic on the required IP addresses. Nem tartalmaz egy szabályt, amely korlátozza a más forrásból származó bejövő hozzáférést.It does not contain a rule to restrict inbound access from other sources. A következő kód bemutatja, hogyan engedélyezheti az internetről érkező SSH-hozzáférés:The following code demonstrates how to enable SSH access from the Internet:

Get-AzNetworkSecurityGroup -Name hdisecure -ResourceGroupName RESOURCEGROUP |
Add-AzNetworkSecurityRuleConfig -Name "SSH" -Description "SSH" -Protocol "*" -SourcePortRange "*" -DestinationPortRange "22" -SourceAddressPrefix "*" -DestinationAddressPrefix "VirtualNetwork" -Access Allow -Priority 306 -Direction Inbound

Azure CLIAzure CLI

Az alábbi lépések segítségével hozzon létre egy virtuális hálózatot, amely korlátozza a bejövő forgalmat, de lehetővé teszi, hogy a HDInsight által igényelt IP-címekről érkező forgalom.Use the following steps to create a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight.

  1. A következő paranccsal hozzon létre egy új hálózati biztonsági csoport nevű hdisecure.Use the following command to create a new network security group named hdisecure. Cserélje le RESOURCEGROUP az erőforráscsoport, amely tartalmazza az Azure Virtual Network.Replace RESOURCEGROUP with the resource group that contains the Azure Virtual Network. Cserélje le LOCATION a hely (régió), amely a csoport sikeresen létrehozva.Replace LOCATION with the location (region) that the group was created in.

    az network nsg create -g RESOURCEGROUP -n hdisecure -l LOCATION
    

    A csoport létrehozása után az új csoport tájékoztatást kap.Once the group has been created, you receive information on the new group.

  2. Használja a következő használatával adhat szabályokat az új hálózati biztonsági csoportot, amely engedélyezi a bejövő kommunikációt az az Azure HDInsight állapotát és a felügyeleti szolgáltatás a 443-as porton.Use the following to add rules to the new network security group that allow inbound communication on port 443 from the Azure HDInsight health and management service. Cserélje le RESOURCEGROUP az erőforráscsoport, amely tartalmazza az Azure virtuális hálózat nevére.Replace RESOURCEGROUP with the name of the resource group that contains the Azure Virtual Network.

    Fontos

    Módosítsa az IP-címek hdirule1 és hdirule2 ebben a példában az Azure-régiót használ megfelelően.Change the IP addresses for hdirule1 and hdirule2 in this example to match the Azure region you are using. Ezt az információt talál a a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak HDInsight szakaszban.You can find this information in the HDInsight with network security groups and user-defined routes section.

    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule1 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "52.164.210.96" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 300 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "13.74.153.132" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 301 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule3 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.49.99" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 302 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule4 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "23.99.5.239" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 303 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.48.131" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 304 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule6 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "138.91.141.162" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 305 --direction "Inbound"
    
  3. Lekérdezheti a hálózati biztonsági csoport egyedi azonosítója, használja a következő parancsot:To retrieve the unique identifier for this network security group, use the following command:

    az network nsg show -g RESOURCEGROUP -n hdisecure --query "id"
    

    Ez a parancs egy értéket ad vissza az alábbi szöveghez hasonló:This command returns a value similar to the following text:

     "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    
  4. Az alábbi parancs segítségével alkalmazhatja a hálózati biztonsági csoport egy alhálózatot.Use the following command to apply the network security group to a subnet. Cserélje le a GUID és RESOURCEGROUP az előző lépésben által visszaadott értékeket olyanokra cserélni.Replace the GUID and RESOURCEGROUP values with the ones returned from the previous step. Cserélje le VNETNAME és SUBNETNAME virtuális hálózat nevére, illetve, hogy a létrehozni kívánt alhálózat neve.Replace VNETNAME and SUBNETNAME with the virtual network name and subnet name that you want to create.

    az network vnet subnet update -g RESOURCEGROUP --vnet-name VNETNAME --name SUBNETNAME --set networkSecurityGroup.id="/subscriptions/GUID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Ez a parancs befejeződése után telepítheti a HDInsight a virtuális hálózatban.Once this command completes, you can install HDInsight into the Virtual Network.

Ezeket a lépéseket csak nyissa meg az Azure-felhőben HDInsight állapotát és a felügyeleti szolgáltatáshoz való hozzáférést.These steps only open access to the HDInsight health and management service on the Azure cloud. A HDInsight fürt a virtuális hálózaton kívül bármely más hozzáférés le lesz tiltva.Any other access to the HDInsight cluster from outside the Virtual Network is blocked. Ahhoz, hogy a virtuális hálózaton kívülről való eléréshez, hozzá kell adnia a további hálózati biztonsági csoportokra vonatkozó szabályokat.To enable access from outside the virtual network, you must add additional Network Security Group rules.

A következő kód bemutatja, hogyan engedélyezheti az internetről érkező SSH-hozzáférés:The following code demonstrates how to enable SSH access from the Internet:

az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n ssh --protocol "*" --source-port-range "*" --destination-port-range "22" --source-address-prefix "*" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 306 --direction "Inbound"

Példa: DNS-konfigurációExample: DNS configuration

A névfeloldás virtuális hálózat és a egy csatlakoztatott helyi hálózat közöttName resolution between a virtual network and a connected on-premises network

Ebben a példában feltételezésekre a következő:This example makes the following assumptions:

  • Rendelkezik egy Azure virtuális hálózat, amely kapcsolódik a helyszíni hálózathoz egy VPN-átjáró használatával.You have an Azure Virtual Network that is connected to an on-premises network using a VPN gateway.

  • Az egyéni DNS-kiszolgáló a virtuális hálózatban fut a Linux vagy Unix operációs rendszerként.The custom DNS server in the virtual network is running Linux or Unix as the operating system.

  • Kötési az egyéni DNS-kiszolgáló telepítve van.Bind is installed on the custom DNS server.

Az egyéni DNS-kiszolgálón a virtuális hálózat:On the custom DNS server in the virtual network:

  1. Azure PowerShell vagy az Azure CLI használatával keresse meg a virtuális hálózat DNS-utótag:Use either Azure PowerShell or Azure CLI to find the DNS suffix of the virtual network:

    Cserélje le RESOURCEGROUP , amely tartalmazza a virtuális hálózathoz, és írja be a parancsot az erőforráscsoport nevét:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Az egyéni DNS-kiszolgálón a virtuális hálózat, használja a következő szöveget a tartalmát, a /etc/bind/named.conf.local fájlt:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.local file:

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {168.63.129.16;}; # Azure recursive resolver
    };
    

    Cserélje le a 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net értéket a virtuális hálózat DNS-utótagját.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of your virtual network.

    Ez a konfiguráció az Azure rekurzív feloldó irányítja a virtuális hálózat DNS-utótag összes DNS-kérésekre.This configuration routes all DNS requests for the DNS suffix of the virtual network to the Azure recursive resolver.

  3. Az egyéni DNS-kiszolgálón a virtuális hálózat, használja a következő szöveget a tartalmát, a /etc/bind/named.conf.options fájlt:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    // TODO: Add the IP range of the joined network to this list
    acl goodclients {
        10.0.0.0/16; # IP address range of the virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            # All other requests are sent to the following
            forwarders {
                192.168.0.1; # Replace with the IP address of your on-premises DNS server
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    
    • Cserélje le a 10.0.0.0/16 érték és az IP-címtartományt a virtuális hálózat.Replace the 10.0.0.0/16 value with the IP address range of your virtual network. Ez a bejegyzés lehetővé teszi, hogy a nevet feloldási kérések címek ebbe a tartományba.This entry allows name resolution requests addresses within this range.

    • Adja hozzá az IP-címtartományt a helyszíni hálózat a acl goodclients { ... } szakaszban.Add the IP address range of the on-premises network to the acl goodclients { ... } section. bejegyzés a helyszíni hálózat lehetővé teszi a névfeloldási erőforrásokból.entry allows name resolution requests from resources in the on-premises network.

    • Cserélje le az értéket 192.168.0.1 a helyi DNS-kiszolgáló IP-címmel.Replace the value 192.168.0.1 with the IP address of your on-premises DNS server. Ez a bejegyzés a helyi DNS-kiszolgáló minden más kérelemhez DNS irányítja.This entry routes all other DNS requests to the on-premises DNS server.

  4. A konfiguráció használatához indítsa újra a kötés.To use the configuration, restart Bind. Például: sudo service bind9 restart.For example, sudo service bind9 restart.

  5. A feltételes továbbítók hozzáadása a helyi DNS-kiszolgáló.Add a conditional forwarder to the on-premises DNS server. A feltételes továbbító az 1. lépésben a DNS-utótag kérést küld az egyéni DNS-kiszolgáló konfigurálása.Configure the conditional forwarder to send requests for the DNS suffix from step 1 to the custom DNS server.

    Megjegyzés

    Tekintse át a DNS-szoftver bírálattal felvétele a feltételes továbbítók lévő dokumentációját.Consult the documentation for your DNS software for specifics on how to add a conditional forwarder.

Ezek a lépések elvégzése után, vagy teljesen minősített tartománynevet (FQDN) használatával hálózatban lévő erőforrásokra csatlakozhat.After completing these steps, you can connect to resources in either network using fully qualified domain names (FQDN). HDInsight most már telepítheti a virtuális hálózatban.You can now install HDInsight into the virtual network.

Csatlakoztatott virtuális hálózatok közötti névfeloldásName resolution between two connected virtual networks

Ebben a példában feltételezésekre a következő:This example makes the following assumptions:

  • Csatlakoztatott vagy VPN-átjáró használatával vagy a társviszony-létesítés két Azure virtuális hálózat rendelkezik.You have two Azure Virtual Networks that are connected using either a VPN gateway or peering.

  • A mindkét hálózat egyéni DNS-kiszolgáló fut Linux vagy Unix operációs rendszerként.The custom DNS server in both networks is running Linux or Unix as the operating system.

  • Kötési telepítve van az egyéni DNS-kiszolgálók.Bind is installed on the custom DNS servers.

  1. Azure PowerShell vagy az Azure CLI segítségével mindkét virtuális hálózat DNS-utótagját keresése:Use either Azure PowerShell or Azure CLI to find the DNS suffix of both virtual networks:

    Cserélje le RESOURCEGROUP , amely tartalmazza a virtuális hálózathoz, és írja be a parancsot az erőforráscsoport nevét:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Használja a következő szöveget a tartalmát, a /etc/bind/named.config.local fájlt az egyéni DNS-kiszolgálón.Use the following text as the contents of the /etc/bind/named.config.local file on the custom DNS server. A módosítás végrehajtása mindkét virtuális hálózat egyéni DNS-kiszolgálón.Make this change on the custom DNS server in both virtual networks.

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {10.0.0.4;}; # The IP address of the DNS server in the other virtual network
    };
    

    Cserélje le a 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net érték és a DNS-utótagja a más virtuális hálózatot.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of the other virtual network. Ez a bejegyzés irányítja a kérelmeket a távoli hálózat DNS-utótag az egyéni a hálózathoz tartozó DNS-hez.This entry routes requests for the DNS suffix of the remote network to the custom DNS in that network.

  3. Az egyéni DNS-kiszolgálókon a két virtuális hálózatnak, használja a következő szöveget a tartalmát, a /etc/bind/named.conf.options fájlt:On the custom DNS servers in both virtual networks, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    acl goodclients {
        10.1.0.0/16; # The IP address range of one virtual network
        10.0.0.0/16; # The IP address range of the other virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            forwarders {
            168.63.129.16;   # Azure recursive resolver         
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    

    Cserélje le a 10.0.0.0/16 és 10.1.0.0/16 értékek IP-címtartományok a virtuális hálózatok.Replace the 10.0.0.0/16 and 10.1.0.0/16 values with the IP address ranges of your virtual networks. Ez a bejegyzés lehetővé teszi, hogy erőforrásokat az egyes hálózatok, hogy a DNS-kiszolgálók kéréseket.This entry allows resources in each network to make requests of the DNS servers.

    Az Azure rekurzív feloldó, amelyek nem a virtuális hálózatok (például microsoft.com) DNS-utótagot a kérések kezeli.Any requests that are not for the DNS suffixes of the virtual networks (for example, microsoft.com) is handled by the Azure recursive resolver.

  4. A konfiguráció használatához indítsa újra a kötés.To use the configuration, restart Bind. Ha például sudo service bind9 restart mindkét DNS-kiszolgálókon.For example, sudo service bind9 restart on both DNS servers.

Ezek a lépések elvégzése után a teljes tartománynevek (FQDN) használatával virtuális hálózatban lévő erőforrásokra csatlakozhat.After completing these steps, you can connect to resources in the virtual network using fully qualified domain names (FQDN). HDInsight most már telepítheti a virtuális hálózatban.You can now install HDInsight into the virtual network.

További lépésekNext steps