Estendere Azure HDInsight usando Rete virtuale di AzureExtend Azure HDInsight using an Azure Virtual Network

Informazioni su come usare HDInsight con Rete virtuale di Azure.Learn how to use HDInsight with an Azure Virtual Network. Il servizio Rete virtuale di Azure consente di implementare gli scenari seguenti:Using an Azure Virtual Network enables the following scenarios:

  • Connessione a HDInsight direttamente da una rete locale.Connecting to HDInsight directly from an on-premises network.

  • Connessione di HDInsight ad archivi dati in una rete virtuale di Azure.Connecting HDInsight to data stores in an Azure Virtual network.

  • Accesso diretto ai servizi Hadoop che non sono disponibili pubblicamente su Internet,Directly accessing Hadoop services that are not available publicly over the internet. ad esempio le API Kafka o l'API Java HBase.For example, Kafka APIs or the HBase Java API.

Avviso

Le informazioni contenute in questo documento richiedono la conoscenza delle reti TCP/IP.The information in this document requires an understanding of TCP/IP networking. Se non si ha familiarità con le reti TCP/IP, è consigliabile collaborare con qualcuno che ne abbia conoscenza se si intende apportare modifiche alle reti di produzione.If you are not familiar with TCP/IP networking, you should partner with someone who is before making modifications to production networks.

Importante

Per istruzioni dettagliate sulla connessione di HDInsight alla rete locale tramite una rete virtuale di Azure, vedere il documento Connettere HDInsight alla rete locale.If you are looking for step by step guidance on connecting HDInsight to your on-premises network using an Azure Virtual Network, see the Connect HDInsight to your on-premise network document.

PianificazionePlanning

Di seguito sono elencate le domande che è necessario porsi quando si intende installare HDInsight in una rete virtuale:The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Occorre installare HDInsight in una rete virtuale esistente?Do you need to install HDInsight into an existing virtual network? Oppure si intende creare una rete nuova?Or are you creating a new network?

    Se si usa una rete virtuale esistente, potrebbe essere necessario modificare la configurazione di rete prima di poter installare HDInsight.If you are using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. Per altre informazioni, vedere la sezione Aggiungere HDInsight a una rete virtuale esistente.For more information, see the add HDInsight to an existing virtual network section.

  • La rete virtuale che contiene HDInsight deve essere connessa a un'altra rete virtuale o alla rete locale?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Per usare facilmente le risorse tra più reti, potrebbe essere necessario creare un DNS personalizzato e configurare l'inoltro DNS.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. Per altre informazioni, vedere la sezione Connessione a più reti.For more information, see the connecting multiple networks section.

  • Si vuole limitare/reindirizzare il traffico in ingresso o in uscita a HDInsight?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    HDInsight deve disporre di una comunicazione senza restrizioni con indirizzi IP specifici nel data center di Azure.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Sono presenti anche diverse porte che devono essere abilitate attraverso i firewall per la comunicazione client.There are also several ports that must be allowed through firewalls for client communication. Per altre informazioni, vedere la sezione Controllo del traffico di rete.For more information, see the controlling network traffic section.

Aggiungere HDInsight a una rete virtuale esistenteAdd HDInsight to an existing virtual network

Seguire la procedura in questa sezione per aggiungere un nuovo cluster HDInsight a una rete virtuale di Azure esistente.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Nota

È possibile aggiungere un cluster HDInsight esistente in una rete virtuale.You cannot add an existing HDInsight cluster into a virtual network.

  1. Si intende usare un modello di distribuzione classico o di Resource Manager per la rete virtuale?Are you using a classic or Resource Manager deployment model for the virtual network?

    HDInsight 3.4 e versione successiva richiedono l'utilizzo di una rete virtuale di Resource Manager.HDInsight 3.4 and greater requires a Resource Manager virtual network. Le versioni precedenti di HDInsight richiedono una rete virtuale classica.Earlier versions of HDInsight required a classic virtual network.

    Se la rete virtuale esistente è un modello classico, è necessario creare una rete virtuale di Resource Manager e successivamente connettere le due reti.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Connessione di reti virtuali classiche a reti virtuali nuove.Connecting classic VNets to new VNets.

    Dopo che le due reti sono state unite, HDInsight installato nella rete di Resource Manager può interagire con le risorse della rete classica.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Si usa il tunneling forzato?Do you use forced tunneling? Il tunneling forzato è un'impostazione di subnet che spinge il traffico Internet in uscita verso un dispositivo per l'ispezione e la registrazione.Forced tunneling is a subnet setting that forces outbound Internet traffic to a device for inspection and logging. HDInsight non supporta il tunneling forzato.HDInsight does not support forced tunneling. Occorre quindi rimuovere questa funzionalità prima di installare HDInsight in una subnet oppure si può creare una nuova subnet per HDInsight.Either remove forced tunneling before installing HDInsight into a subnet, or create a new subnet for HDInsight.

  3. Si usano gruppi di sicurezza di rete, route definite dall'utente o appliance di rete virtuali per limitare il traffico all'interno o all'esterno della rete virtuale?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    In qualità di servizio gestito, HDInsight richiede l'accesso senza restrizioni a vari indirizzi IP nel data center di Azure.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Per consentire la comunicazione con questi indirizzi IP, aggiornare tutti i gruppi di sicurezza di rete o le route definite dall'utente esistenti.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    HDInsight ospita più servizi, che usano porte diverse.HDInsight hosts multiple services, which use a variety of ports. Non bloccare il traffico indirizzato a queste porte.Do not block traffic to these ports. Per un elenco di porte da abilitare attraverso i firewall dell'appliance virtuale, vedere la sezione Sicurezza.For a list of ports to allow through virtual appliance firewalls, see the Security section.

    Per trovare la configurazione di sicurezza esistente, usare i comandi di Azure PowerShell o dell'interfaccia della riga di comando di Azure che seguono:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • Gruppi di sicurezza di reteNetwork security groups

      $resourceGroupName = Read-Input -Prompt "Enter the resource group that contains the virtual network used with HDInsight"
      get-azurermnetworksecuritygroup -resourcegroupname $resourceGroupName
      
      read -p "Enter the name of the resource group that contains the virtual network: " RESOURCEGROUP
      az network nsg list --resource-group $RESOURCEGROUP
      

      Per altre informazioni, vedere il documento Risolvere i problemi relativi ai gruppi di sicurezza di rete.For more information, see the Troubleshoot network security groups document.

      Importante

      Le regole di gruppo di sicurezza di rete vengono applicate seguendo un ordine basato sulla priorità delle regole.Network security group rules are applied in order based on rule priority. Viene applicata la prima regola che corrisponde al modello di traffico, dopodiché non vengono applicate altre regole per quel traffico.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. Ordinare le regole dalla più permissiva alla più restrittiva.Order rules from most permissive to least permissive. Per altre informazioni, vedere il documento Filtrare il traffico di rete con gruppi di sicurezza di rete.For more information, see the Filter network traffic with network security groups document.

    • Route definite dall'utenteUser-defined routes

      $resourceGroupName = Read-Input -Prompt "Enter the resource group that contains the virtual network used with HDInsight"
      get-azurermroutetable -resourcegroupname $resourceGroupName
      
      read -p "Enter the name of the resource group that contains the virtual network: " RESOURCEGROUP
      az network route-table list --resource-group $RESOURCEGROUP
      

      Per altre informazioni, vedere il documento Risolvere i problemi relativi alle route.For more information, see the Troubleshoot routes document.

  4. Creare un cluster HDInsight e selezionare la rete virtuale di Azure durante la configurazione.Create an HDInsight cluster and select the Azure Virtual Network during configuration. Per comprendere il processo di creazione del cluster, attenersi alla procedura nei documenti seguenti:Use the steps in the following documents to understand the cluster creation process:

    Importante

    L'aggiunta di un cluster HDInsight a una rete virtuale è un passaggio di configurazione facoltativo.Adding HDInsight to a virtual network is an optional configuration step. Assicurarsi di selezionare la rete virtuale quando si configura il cluster.Be sure to select the virtual network when configuring the cluster.

Connessione a più retiConnecting multiple networks

Il problema più grande con una configurazione con più reti è la risoluzione dei nomi tra le reti.The biggest challenge with a multi-network configuration is name resolution between the networks.

Azure assicura la risoluzione dei nomi per i servizi di Azure che vengono installati in una rete virtuale.Azure provides name resolution for Azure services that are installed in a virtual network. La risoluzione dei nomi integrata consente a HDInsight di connettersi alle risorse seguenti usando un nome di dominio completo (FQDN):This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • Qualsiasi risorsa disponibile in Internet,Any resource that is available on the internet. ad esempio microsoft.com, google.com.For example, microsoft.com, google.com.

  • Qualsiasi risorsa che si trovi nella stessa rete virtuale di Azure tramite l'utilizzo del nome DNS interno della risorsa.Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Quando ad esempio si usa la risoluzione dei nomi predefinita, i seguenti sono nomi DNS interni di esempio assegnati a nodi del ruolo di lavoro di HDInsight:For example, when using the default name resolution, the following are example internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net
    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Entrambi questi nodi possono comunicare direttamente tra loro e con altri nodi in HDInsight, usando i nomi DNS interni.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

La risoluzione dei nomi predefinita non consente a HDInsight di risolvere i nomi di risorse in reti che sono aggiunte alla rete virtuale.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. È ad esempio pratica diffusa unire la rete locale alla rete virtuale.For example, it is common to join your on-premises network to the virtual network. Con la semplice risoluzione dei nomi predefinita, HDInsight non può accedere alle risorse della rete locale in base al nome.With only the default name resolution, HDInsight cannot access resources in the on-premises network by name. È vero anche il contrario. Le risorse nella rete locale non possono accedere alle risorse della rete virtuale in base al nome.The opposite is also true, resources in your on-premises network cannot access resources in the virtual network by name.

Avviso

È necessario creare il server DNS personalizzato e configurare la rete virtuale per il suo utilizzo prima di creare il cluster HDInsight.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

Per abilitare la risoluzione dei nomi tra la rete virtuale e le risorse in reti aggiunte, è necessario eseguire le azioni seguenti:To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Creare un server DNS personalizzato nella rete virtuale di Azure in cui si intende installare HDInsight.Create a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. Configurare la rete virtuale per l'utilizzo del server DNS personalizzato.Configure the virtual network to use the custom DNS server.

  3. Trovare il suffisso DNS assegnato da Azure per la rete virtuale.Find the Azure assigned DNS suffix for your virtual network. Questo valore è simile a 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. Per informazioni sulla ricerca del suffisso DNS, vedere la sezione Esempio: DNS personalizzato.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Configurare l'inoltro tra i server DNS.Configure forwarding between the DNS servers. La configurazione dipende dal tipo di rete remota.The configuration depends on the type of remote network.

    • Se la rete remota è una rete locale, configurare il DNS come indicato di seguito:If the remote network is an on-premises network, configure DNS as follows:

      • DNS personalizzato (nella rete virtuale):Custom DNS (in the virtual network):

        • Inoltrare le richieste per il suffisso DNS della rete virtuale al sistema di risoluzione ricorsiva di Azure (168.63.129.16).Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). Azure gestisce le richieste per le risorse nella rete virtualeAzure handles requests for resources in the virtual network

        • Inoltrare tutte le altre richieste al server DNS locale.Forward all other requests to the on-premises DNS server. Il server DNS locale gestisce tutte le altre richieste di risoluzione dei nomi, persino le richieste per le risorse Internet quali Microsoft.com.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • DNS locale: inoltrare le richieste per il suffisso DNS di rete virtuale al server DNS personalizzato.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. Il server DNS personalizzato le inoltra quindi al sistema di risoluzione ricorsiva di Azure.The custom DNS server then forwards to the Azure recursive resolver.

        Questa configurazione indirizza le richieste di nomi di dominio completi che contengono il suffisso DNS della rete virtuale al server DNS personalizzato.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Tutte le altre richieste (anche per gli indirizzi Internet pubblici) vengono gestite dal server DNS locale.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Se la rete remota è un'altra rete virtuale di Azure, configurare il DNS come indicato di seguito:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • DNS personalizzato (in ogni rete virtuale):Custom DNS (in each virtual network):

        • Le richieste per il suffisso DNS delle reti virtuali vengono inoltrate ai server DNS personalizzati.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. Il DNS in ogni rete virtuale è responsabile della risoluzione delle risorse all'interno della propria rete.The DNS in each virtual network is responsible for resolving resources within its network.

        • Inoltrare tutte le altre richieste al sistema di risoluzione ricorsiva di Azure.Forward all other requests to the Azure recursive resolver. Il sistema di risoluzione ricorsiva è responsabile della risoluzione delle risorse Internet e locali.The recursive resolver is responsible for resolving local and internet resources.

        Il server DNS per ogni rete inoltra le richieste all'altro, in base al suffisso DNS.The DNS server for each network forwards requests to the other, based on DNS suffix. Le altre richieste vengono risolte usando il sistema di risoluzione ricorsiva di Azure.Other requests are resolved using the Azure recursive resolver.

      Per un esempio di ogni configurazione, vedere la sezione Esempio: DNS personalizzato.For an example of each configuration, see the Example: Custom DNS section.

Per altre informazioni, vedere il documento Risoluzione dei nomi per le macchine virtuali e le istanze del ruolo.For more information, see the Name Resolution for VMs and Role Instances document.

Connettersi direttamente ai servizi HadoopDirectly connect to Hadoop services

La maggior parte della documentazione in HDInsight presuppone che sia disponibile l'accesso al cluster tramite Internet.Most documentation on HDInsight assumes that you have access to the cluster over the internet. Verificare ad esempio che sia possibile connettersi al cluster all'indirizzo https://CLUSTERNAME.azurehdinsight.net.For example, that you can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. Questo indirizzo usa il gateway pubblico, che non è disponibile se sono stati usati gruppi di sicurezza di rete o route definite dall'utente per limitare l'accesso da Internet.This address uses the public gateway, which is not available if you have used NSGs or UDRs to restrict access from the internet.

Per connettersi alle pagine Ambari e ad altre pagine Web tramite la rete virtuale, seguire questa procedura:To connect to Ambari and other web pages through the virtual network, use the following steps:

  1. Per individuare i nomi di dominio completi (FQDN) interni dei nodi del cluster HDInsight, usare uno dei modi seguenti:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    $resourceGroupName = "The resource group that contains the virtual network used with HDInsight"
    
    $clusterNICs = Get-AzureRmNetworkInterface -ResourceGroupName $resourceGroupName | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group <resourcegroupname> --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    Nell'elenco di nodi restituito, trovare i nomi di dominio completi dei nodi head e usarli per connettersi ad Ambari e altri servizi Web.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Usare ad esempio http://<headnode-fqdn>:8080 per accedere ad Ambari.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Importante

    Alcuni servizi ospitati nei nodi head sono attivi solo in un nodo alla volta.Some services hosted on the head nodes are only active on one node at a time. Se nel tentativo di accedere a un servizio in un nodo head si riceve un messaggio di errore 404, passare al nodo head successivo.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Per determinare il nodo e la porta su cui un servizio è disponibile, vedere il documento Porte usate dai servizi Hadoop su HDInsight.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Controllo del traffico di reteControlling network traffic

Il traffico di rete nelle reti virtuali di Azure può essere controllato usando i modi seguenti:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • i gruppi di sicurezza di rete (NSG) consentono di filtrare il traffico di rete in ingresso e in uscita.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. Per altre informazioni, vedere il documento Filtrare il traffico di rete con gruppi di sicurezza di rete.For more information, see the Filter network traffic with network security groups document.

    Avviso

    HDInsight non supporta la limitazione del traffico in uscita.HDInsight does not support restricting outbound traffic.

  • Le route definite dall'utente definiscono il flusso del traffico tra le risorse nella rete.User-defined routes (UDR) define how traffic flows between resources in the network. Per altre informazioni, vedere il documento Route definite dall'utente e inoltro IP.For more information, see the User-defined routes and IP forwarding document.

  • Le appliance virtuali di rete replicano le funzionalità di dispositivi come i firewall e i router.Network virtual appliances replicate the functionality of devices such as firewalls and routers. Per altre informazioni, vedere il documento relativo alle Appliance di rete.For more information, see the Network Appliances document.

In qualità di servizio gestito, HDInsight richiede l'accesso senza restrizioni a servizi di gestione e integrità di Azure nel cloud di Azure.As a managed service, HDInsight requires unrestricted access to Azure health and management services in the Azure cloud. Quando si usano i gruppi di sicurezza di rete e le route definite dall'utente, è necessario assicurarsi che questi servizi possano ancora comunicare con HDInsight.When using NSGs and UDRs, you must ensure that HDInsight these services can still communicate with HDInsight.

HDInsight espone i servizi su porte diverse.HDInsight exposes services on several ports. Quando si usa un firewall di appliance virtuale, è necessario consentire il traffico sulle porte usate per questi servizi.When using a virtual appliance firewall, you must allow traffic on the ports used for these services. Per altre informazioni, vedere la sezione [Porte richieste].For more information, see the [Required ports] section.

HDInsight con gruppi di sicurezza di rete e route definite dall'utenteHDInsight with network security groups and user-defined routes

Se si intende usare gruppi di sicurezza di rete o route definite dall'utente per controllare il traffico di rete, eseguire le azioni seguenti prima di installare HDInsight:If you plan on using network security groups or user-defined routes to control network traffic, perform the following actions before installing HDInsight:

  1. Identificare l'area di Azure che si intende usare per HDInsight.Identify the Azure region that you plan to use for HDInsight.

  2. Identificare gli indirizzi IP richiesti da HDInsight.Identify the IP addresses required by HDInsight. Per altre informazioni, vedere la sezione Indirizzi IP richiesti da HDInsight.For more information, see the IP Addresses required by HDInsight section.

  3. Creare o modificare i gruppi di sicurezza di rete o le route definite dall'utente per la subnet in cui si intende installare HDInsight.Create or modify the network security groups or user-defined routes for the subnet that you plan to install HDInsight into.

    • Gruppi di sicurezza di rete: consentono il traffico in ingresso sulla porta 443 dagli indirizzi IP.Network security groups: allow inbound traffic on port 443 from the IP addresses.
    • Route definite dall'utente: creare una route per ogni indirizzo IP e impostare Tipo hop successivo su Internet.User-defined routes: create a route to each IP address and set the Next hop type to Internet.

Per altre informazioni sui gruppi di sicurezza di rete o sulle route definite dall'utente, vedere la documentazione seguente:For more information on network security groups or user-defined routes, see the following documentation:

Tunneling forzatoForced tunneling

Il tunneling forzato è una configurazione di routing definita dall'utente in cui tutto il traffico da una subnet viene spinto verso una rete o un percorso specifico, ad esempio la rete locale.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight non supporta il tunneling forzato.HDInsight does not support forced tunneling.

Indirizzi IP richiestiRequired IP addresses

Importante

I servizi di gestione e integrità di Azure devono poter comunicare con HDInsight.The Azure health and management services must be able to communicate with HDInsight. Se si usano gruppi di sicurezza di rete o route definite dall'utente, consentire il traffico dagli indirizzi IP in modo che tali servizi possano raggiungere HDInsight.If you use network security groups or user-defined routes, allow traffic from the IP addresses for these services to reach HDInsight.

Se non si usano gruppi di sicurezza di rete o route definite dall'utente per controllare il traffico, è possibile ignorare questa sezione.If you do not use network security groups or user-defined routes to control traffic, you can ignore this section.

Se si usano gruppi di sicurezza di rete o route definite dall'utente, è necessario consentire il traffico dai servizi di gestione e integrità di Azure per raggiungere HDInsight.If you use network security groups or user-defined routes, you must allow traffic from the Azure health and management services to reach HDInsight. Usare la procedura seguente per trovare gli indirizzi IP che devono essere consentiti:Use the following steps to find the IP addresses that must be allowed:

  1. È sempre necessario consentire il traffico dagli indirizzi IP seguenti:You must always allow traffic from the following IP addresses:

    Indirizzo IPIP address Porta consentitaAllowed port DirezioneDirection
    168.61.49.99168.61.49.99 443443 In ingressoInbound
    23.99.5.23923.99.5.239 443443 In ingressoInbound
    168.61.48.131168.61.48.131 443443 In ingressoInbound
    138.91.141.162138.91.141.162 443443 In ingressoInbound
  2. Se il cluster HDInsight si trova in una delle seguenti aree, è necessario consentire il traffico proveniente dagli indirizzi IP elencati per l'area:If your HDInsight cluster is in one of the following regions, then you must allow traffic from the IP addresses listed for the region:

    Importante

    Se si usa un'area di Azure non inclusa nell'elenco, usare solo i quattro IP riportati nel passaggio 1.If the Azure region you are using is not listed, then only use the four IP addresses from step 1.

    PaeseCountry RegionRegion Indirizzi IP consentitiAllowed IP addresses Porta consentitaAllowed port DirezioneDirection
    AsiaAsia Asia orientaleEast Asia 23.102.235.12223.102.235.122
    52.175.38.13452.175.38.134
    443443 In ingressoInbound
      Asia sudorientaleSoutheast Asia 13.76.245.16013.76.245.160
    13.76.136.24913.76.136.249
    443443 In ingressoInbound
    AustraliaAustralia Australia orientaleAustralia East 104.210.84.115104.210.84.115
    13.75.152.19513.75.152.195
    443443 In ingressoInbound
      Australia sudorientaleAustralia Southeast 13.77.2.5613.77.2.56
    13.77.2.9413.77.2.94
    443443 In ingressoInbound
    BrasileBrazil Brasile meridionaleBrazil South 191.235.84.104191.235.84.104
    191.235.87.113191.235.87.113
    443443 In ingressoInbound
    CanadaCanada Canada orientaleCanada East 52.229.127.9652.229.127.96
    52.229.123.17252.229.123.172
    443443 In ingressoInbound
      Canada centraleCanada Central 52.228.37.6652.228.37.66
    52.228.45.22252.228.45.222
    443443 In ingressoInbound
    CinaChina Cina settentrionaleChina North 42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219
    443443 In ingressoInbound
      Cina orientaleChina East 42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157
    443443 In ingressoInbound
    EuropaEurope Europa settentrionaleNorth Europe 52.164.210.9652.164.210.96
    13.74.153.13213.74.153.132
    443443 In ingressoInbound
      Europa occidentaleWest Europe 52.166.243.9052.166.243.90
    52.174.36.24452.174.36.244
    443443 In ingressoInbound
    GermaniaGermany Germania centraleGermany Central 51.4.146.6851.4.146.68
    51.4.146.8051.4.146.80
    443443 In ingressoInbound
      Germania nord-orientaleGermany Northeast 51.5.150.13251.5.150.132
    51.5.144.10151.5.144.101
    443443 In ingressoInbound
    IndiaIndia India centraleCentral India 52.172.153.20952.172.153.209
    52.172.152.4952.172.152.49
    443443 In ingressoInbound
    GiapponeJapan Giappone orientaleJapan East 13.78.125.9013.78.125.90
    13.78.89.6013.78.89.60
    443443 In ingressoInbound
      Giappone occidentaleJapan West 40.74.125.6940.74.125.69
    138.91.29.150138.91.29.150
    443443 In ingressoInbound
    CoreaKorea Corea centraleKorea Central 52.231.39.14252.231.39.142
    52.231.36.20952.231.36.209
    433433 In ingressoInbound
      Corea meridionaleKorea South 52.231.203.1652.231.203.16
    52.231.205.21452.231.205.214
    443443 In ingressoInbound
    Regno UnitoUnited Kingdom Regno Unito occidentaleUK West 51.141.13.11051.141.13.110
    51.141.7.2051.141.7.20
    443443 In ingressoInbound
      Regno Unito meridionaleUK South 51.140.47.3951.140.47.39
    51.140.52.1651.140.52.16
    443443 In ingressoInbound
    Stati UnitiUnited States Stati Uniti centraliCentral US 13.67.223.21513.67.223.215
    40.86.83.25340.86.83.253
    443443 In ingressoInbound
      Stati Uniti centro-settentrionaliNorth Central US 157.56.8.38157.56.8.38
    157.55.213.99157.55.213.99
    443443 In ingressoInbound
      Stati Uniti centro-occidentaliWest Central US 52.161.23.1552.161.23.15
    52.161.10.16752.161.10.167
    443443 In ingressoInbound
      Stati Uniti occidentali 2West US 2 52.175.211.21052.175.211.210
    52.175.222.22252.175.222.222
    443443 In ingressoInbound

    Per informazioni sugli indirizzi IP da usare per Azure per enti pubblici, vedere il documento Azure Government Intelligence + Analytics (Intelligence e Analisi di Azure per enti pubblici).For information on the IP addresses to use for Azure Government, see the Azure Government Intelligence + Analytics document.

  3. Se si usa un server DNS personalizzato con la rete virtuale, è anche necessario consentire l'accesso da 168.63.129.16.If you use a custom DNS server with your virtual network, you must also allow access from 168.63.129.16. Questo è l'indirizzo del sistema di risoluzione ricorsiva di Azure.This address is Azure's recursive resolver. Per altre informazioni, vedere il documento Risoluzione dei nomi per macchine virtuali e istanze del ruolo.For more information, see the Name resolution for VMs and Role instances document.

Per altre informazioni, vedere la sezione Controllo del traffico di rete.For more information, see the Controlling network traffic section.

Porte richiesteRequired ports

Se si intende usare un firewall di appliance virtuale di rete per proteggere la rete virtuale, è necessario abilitare il traffico in uscita sulle porte seguenti:If you plan on using a network virtual appliance firewall to secure the virtual network, you must allow outbound traffic on the following ports:

  • 5353
  • 443443
  • 14331433
  • 11000-1199911000-11999
  • 14000-1499914000-14999

Per un elenco di porte per servizi specifici, vedere il documento Porte usate dai servizi Hadoop su HDInsight.For a list of ports for specific services, see the Ports used by Hadoop services on HDInsight document.

Per altre informazioni sulle regole del firewall per le appliance virtuali, vedere il documento Scenario dell'appliance virtuale.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

Ad esempio: gruppi di sicurezza di rete con HDInsightExample: network security groups with HDInsight

Gli esempi in questa sezione illustrano come creare regole per i gruppi di sicurezza di rete che consentano a HDInsight di comunicare con i servizi di gestione di Azure.The examples in this section demonstrate how to create network security group rules that allow HDInsight to communicate with the Azure management services. Prima di usare gli esempi, modificare gli indirizzi IP in modo che corrispondano a quelli per l'area di Azure in uso.Before using the examples, adjust the IP addresses to match the ones for the Azure region you are using. Queste informazioni sono disponibili nella sezione HDInsight con gruppi di sicurezza di rete e route definite dall'utente.You can find this information in the HDInsight with network security groups and user-defined routes section.

Modello di Resource Manager di AzureAzure Resource Management template

Il modello di Resource Manager seguente crea una rete virtuale che limita il traffico in ingresso, ma consente il traffico dagli indirizzi IP richiesti da HDInsight.The following Resource Management template creates a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight. Questo modello crea anche un cluster HDInsight nella rete virtuale.This template also creates an HDInsight cluster in the virtual network.

Importante

Modificare gli indirizzi IP usati in questo esempio in modo che corrispondano all'area di Azure in uso.Change the IP addresses used in this example to match the Azure region you are using. Queste informazioni sono disponibili nella sezione HDInsight con gruppi di sicurezza di rete e route definite dall'utente.You can find this information in the HDInsight with network security groups and user-defined routes section.

Azure PowerShellAzure PowerShell

Usare lo script di PowerShell seguente per creare una rete virtuale che limita il traffico in ingresso e consente il traffico dagli indirizzi IP per l'area Europa settentrionale.Use the following PowerShell script to create a virtual network that restricts inbound traffic and allows traffic from the IP addresses for the North Europe region.

Importante

Modificare gli indirizzi IP usati in questo esempio in modo che corrispondano all'area di Azure in uso.Change the IP addresses used in this example to match the Azure region you are using. Queste informazioni sono disponibili nella sezione HDInsight con gruppi di sicurezza di rete e route definite dall'utente.You can find this information in the HDInsight with network security groups and user-defined routes section.

$vnetName = "Replace with your virtual network name"
$resourceGroupName = "Replace with the resource group the virtual network is in"
$subnetName = "Replace with the name of the subnet that you plan to use for HDInsight"
# Get the Virtual Network object
$vnet = Get-AzureRmVirtualNetwork `
    -Name $vnetName `
    -ResourceGroupName $resourceGroupName
# Get the region the Virtual network is in.
$location = $vnet.Location
# Get the subnet object
$subnet = $vnet.Subnets | Where-Object Name -eq $subnetName
# Create a Network Security Group.
# And add exemptions for the HDInsight health and management services.
$nsg = New-AzureRmNetworkSecurityGroup `
    -Name "hdisecure" `
    -ResourceGroupName $resourceGroupName `
    -Location $location `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -name "hdirule1" `
        -Description "HDI health and management address 52.164.210.96" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "52.164.210.96" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 300 `
        -Direction Inbound `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -Name "hdirule2" `
        -Description "HDI health and management 13.74.153.132" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "13.74.153.132" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 301 `
        -Direction Inbound `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -Name "hdirule3" `
        -Description "HDI health and management 168.61.49.99" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.49.99" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 302 `
        -Direction Inbound `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -Name "hdirule4" `
        -Description "HDI health and management 23.99.5.239" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "23.99.5.239" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 303 `
        -Direction Inbound `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -Name "hdirule5" `
        -Description "HDI health and management 168.61.48.131" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.48.131" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 304 `
        -Direction Inbound `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -Name "hdirule6" `
        -Description "HDI health and management 138.91.141.162" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "138.91.141.162" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 305 `
        -Direction Inbound `
    | Add-AzureRmNetworkSecurityRuleConfig `
        -Name "blockeverything" `
        -Description "Block everything else" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "*" `
        -SourceAddressPrefix "Internet" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Deny `
        -Priority 500 `
        -Direction Inbound
# Set the changes to the security group
Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
# Apply the NSG to the subnet
Set-AzureRmVirtualNetworkSubnetConfig `
    -VirtualNetwork $vnet `
    -Name $subnetName `
    -AddressPrefix $subnet.AddressPrefix `
    -NetworkSecurityGroup $nsg

Importante

Questo esempio illustra come aggiungere le regole per consentire il traffico in ingresso sugli indirizzi IP richiesti.This example demonstrates how to add rules to allow inbound traffic on the required IP addresses. Non contiene regole per limitare l'accesso in ingresso da altre origini.It does not contain a rule to restrict inbound access from other sources.

L'esempio seguente dimostra come abilitare l'accesso SSH da Internet:The following example demonstrates how to enable SSH access from the Internet:

Add-AzureRmNetworkSecurityRuleConfig -Name "SSH" -Description "SSH" -Protocol "*" -SourcePortRange "*" -DestinationPortRange "22" -SourceAddressPrefix "*" -DestinationAddressPrefix "VirtualNetwork" -Access Allow -Priority 306 -Direction Inbound

Interfaccia della riga di comando di AzureAzure CLI

Seguire questa procedura per creare una rete virtuale che limita il traffico in ingresso, ma consente il traffico dagli indirizzi IP richiesti da HDInsight.Use the following steps to create a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight.

  1. Usare il comando seguente per creare un nuovo gruppo di sicurezza di rete denominato hdisecure.Use the following command to create a new network security group named hdisecure. Sostituire RESOURCEGROUPNAME con il gruppo di risorse che contiene la rete virtuale di Azure.Replace RESOURCEGROUPNAME with the resource group that contains the Azure Virtual Network. Sostituire LOCATION con la posizione (area geografica) in cui è stato creato il gruppo.Replace LOCATION with the location (region) that the group was created in.

    az network nsg create -g RESOURCEGROUPNAME -n hdisecure -l LOCATION
    

    Dopo aver creato il gruppo si ricevono informazioni sul nuovo gruppo.Once the group has been created, you receive information on the new group.

  2. Usare le informazioni seguenti per aggiungere regole al nuovo gruppo di sicurezza di rete che ammettono la comunicazione in ingresso sulla porta 443 dal servizio integrità e gestione di Azure HDInsight.Use the following to add rules to the new network security group that allow inbound communication on port 443 from the Azure HDInsight health and management service. Sostituire RESOURCEGROUPNAME con il nome del gruppo di risorse che contiene la rete virtuale di Azure.Replace RESOURCEGROUPNAME with the name of the resource group that contains the Azure Virtual Network.

    Importante

    Modificare gli indirizzi IP usati in questo esempio in modo che corrispondano all'area di Azure in uso.Change the IP addresses used in this example to match the Azure region you are using. Queste informazioni sono disponibili nella sezione HDInsight con gruppi di sicurezza di rete e route definite dall'utente.You can find this information in the HDInsight with network security groups and user-defined routes section.

    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule1 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "52.164.210.96" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 300 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "13.74.153.132" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 301 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.49.99" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 302 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "23.99.5.239" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 303 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.48.131" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 304 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "138.91.141.162" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 305 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n block --protocol "*" --source-port-range "*" --destination-port-range "*" --source-address-prefix "Internet" --destination-address-prefix "VirtualNetwork" --access "Deny" --priority 500 --direction "Inbound"
    
  3. Per recuperare l'identificatore univoco per questo gruppo di sicurezza di rete, usare il comando seguente:To retrieve the unique identifier for this network security group, use the following command:

    az network nsg show -g RESOURCEGROUPNAME -n hdisecure --query 'id'
    

    Il comando restituisce un valore simile al testo seguente:This command returns a value similar to the following text:

     "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUPNAME/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Se non si ottengono i risultati previsti, nel comando inserire l'ID tra virgolette doppie.Use double-quotes around id in the command if you don't get the expected results.

  4. Usare il comando seguente per applicare il gruppo di sicurezza di rete a una subnet.Use the following command to apply the network security group to a subnet. Sostituire i valori GUID e RESOURCEGROUPNAME con quelli restituiti nel passaggio precedente.Replace the GUID and RESOURCEGROUPNAME values with the ones returned from the previous step. Sostituire VNETNAME e SUBNETNAME con il nome della rete virtuale e il nome della subnet che si intende creare.Replace VNETNAME and SUBNETNAME with the virtual network name and subnet name that you want to create.

    az network vnet subnet update -g RESOURCEGROUPNAME --vnet-name VNETNAME --name SUBNETNAME --set networkSecurityGroup.id="/subscriptions/GUID/resourceGroups/RESOURCEGROUPNAME/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Dopo il completamento del comando, è possibile installare HDInsight nella rete virtuale.Once this command completes, you can install HDInsight into the Virtual Network.

Importante

Questa procedura consente di accedere solo al servizio di gestione e integrità di HDInsight nel cloud di Azure.These steps only open access to the HDInsight health and management service on the Azure cloud. Qualsiasi altro accesso al cluster HDInsight dall'esterno della rete virtuale è bloccato.Any other access to the HDInsight cluster from outside the Virtual Network is blocked. Per abilitare l'accesso dall'esterno della rete virtuale è necessario aggiungere altre regole del gruppo di sicurezza di rete.To enable access from outside the virtual network, you must add additional Network Security Group rules.

L'esempio seguente dimostra come abilitare l'accesso SSH da Internet:The following example demonstrates how to enable SSH access from the Internet:

az network nsg rule create -g RESOURCEGROUPNAME --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "22" --source-address-prefix "*" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 306 --direction "Inbound"

Esempio: configurazione DNSExample: DNS configuration

Risoluzione dei nomi tra una rete virtuale e una rete locale connessaName resolution between a virtual network and a connected on-premises network

Questo esempio si basa sui presupposti seguenti:This example makes the following assumptions:

  • Si dispone di una rete virtuale di Azure che è connessa a una rete locale tramite un gateway VPN.You have an Azure Virtual Network that is connected to an on-premises network using a VPN gateway.

  • Il server DNS personalizzato nella rete virtuale esegue il sistema operativo Linux o Unix.The custom DNS server in the virtual network is running Linux or Unix as the operating system.

  • Nel server DNS personalizzato è installato Bind.Bind is installed on the custom DNS server.

Nel server DNS personalizzato nella rete virtuale:On the custom DNS server in the virtual network:

  1. Usare Azure PowerShell o l'interfaccia della riga di comando di Azure per individuare il suffisso DNS della rete virtuale:Use either Azure PowerShell or Azure CLI to find the DNS suffix of the virtual network:

    $resourceGroupName = Read-Input -Prompt "Enter the resource group that contains the virtual network used with HDInsight"
    $NICs = Get-AzureRmNetworkInterface -ResourceGroupName $resourceGroupName
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    read -p "Enter the name of the resource group that contains the virtual network: " RESOURCEGROUP
    az network nic list --resource-group $RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Nel server DNS personalizzato per la rete virtuale, usare il testo seguente come contenuto del file /etc/bind/named.conf.local:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.local file:

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {168.63.129.16;}; # Azure recursive resolver
    };
    

    Sostituire il valore 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net con il suffisso DNS della rete virtuale.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of your virtual network.

    Questa configurazione indirizza tutte le richieste DNS per il suffisso DNS della rete virtuale al sistema di risoluzione ricorsiva di Azure.This configuration routes all DNS requests for the DNS suffix of the virtual network to the Azure recursive resolver.

  3. Nel server DNS personalizzato per la rete virtuale, usare il testo seguente come contenuto del file /etc/bind/named.conf.options:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    // TODO: Add the IP range of the joined network to this list
    acl goodclients {
        10.0.0.0/16; # IP address range of the virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            # All other requests are sent to the following
            forwarders {
                192.168.0.1; # Replace with the IP address of your on-premises DNS server
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    
    • Sostituire il valore 10.0.0.0/16 con l'intervallo di indirizzi IP della rete virtuale.Replace the 10.0.0.0/16 value with the IP address range of your virtual network. Questa voce consente l'indirizzamento delle richieste di risoluzione dei nomi all'interno di questo intervallo.This entry allows name resolution requests addresses within this range.

    • Aggiungere l'intervallo di indirizzi IP della rete locale alla sezione acl goodclients { ... }.Add the IP address range of the on-premises network to the acl goodclients { ... } section. Questa voce consente le richieste di risoluzione dei nomi dalle risorse nella rete locale.entry allows name resolution requests from resources in the on-premises network.

    • Sostituire il valore 192.168.0.1 con l'indirizzo IP del server DNS locale.Replace the value 192.168.0.1 with the IP address of your on-premises DNS server. Questa voce indirizza tutte le altre richieste DNS al server DNS locale.This entry routes all other DNS requests to the on-premises DNS server.

  4. Per usare la configurazione, riavviare Bind.To use the configuration, restart Bind. Ad esempio, sudo service bind9 restart.For example, sudo service bind9 restart.

  5. Aggiungere un server d'inoltro condizionale al server DNS locale.Add a conditional forwarder to the on-premises DNS server. Configurare il server d'inoltro condizionale per l'invio di richieste del suffisso DNS del passaggio 1 al server DNS personalizzato.Configure the conditional forwarder to send requests for the DNS suffix from step 1 to the custom DNS server.

    Nota

    Per informazioni dettagliate su come aggiungere un server d'inoltro condizionale, consultare la documentazione del software del DNS.Consult the documentation for your DNS software for specifics on how to add a conditional forwarder.

Dopo avere completato questi passaggi, è possibile connettersi alle risorse in entrambe le reti usando i nomi di dominio completi (FQDN).After completing these steps, you can connect to resources in either network using fully qualified domain names (FQDN). È ora possibile installare HDInsight nella rete virtuale.You can now install HDInsight into the virtual network.

Risoluzione dei nomi tra due reti virtuali connesseName resolution between two connected virtual networks

Questo esempio si basa sui presupposti seguenti:This example makes the following assumptions:

  • Si dispone di due reti virtuali di Azure connesse tramite gateway VPN o peering.You have two Azure Virtual Networks that are connected using either a VPN gateway or peering.

  • Il server DNS personalizzato in entrambe le reti esegue il sistema operativo Linux o Unix.The custom DNS server in both networks is running Linux or Unix as the operating system.

  • Nei server DNS personalizzati è installato Bind.Bind is installed on the custom DNS servers.

  1. Usare Azure PowerShell o l'interfaccia della riga di comando di Azure per individuare il suffisso DNS di entrambe le reti virtuali:Use either Azure PowerShell or Azure CLI to find the DNS suffix of both virtual networks:

    $resourceGroupName = Read-Input -Prompt "Enter the resource group that contains the virtual network used with HDInsight"
    $NICs = Get-AzureRmNetworkInterface -ResourceGroupName $resourceGroupName
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    read -p "Enter the name of the resource group that contains the virtual network: " RESOURCEGROUP
    az network nic list --resource-group $RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Usare il testo seguente come contenuto del file /etc/bind/named.config.local nel server DNS personalizzato.Use the following text as the contents of the /etc/bind/named.config.local file on the custom DNS server. Apportare questa modifica al server DNS personalizzato in entrambe le reti virtuali.Make this change on the custom DNS server in both virtual networks.

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {10.0.0.4;}; # The IP address of the DNS server in the other virtual network
    };
    

    Sostituire il valore 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net con il suffisso DNS dell'altra rete virtuale.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of the other virtual network. Questa voce indirizza le richieste per il suffisso DNS della rete remota al DNS personalizzato di quella rete.This entry routes requests for the DNS suffix of the remote network to the custom DNS in that network.

  3. Nei server DNS personalizzati in entrambe le reti virtuali, usare il testo seguente come contenuto del file /etc/bind/named.conf.options:On the custom DNS servers in both virtual networks, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    acl goodclients {
        10.1.0.0/16; # The IP address range of one virtual network
        10.0.0.0/16; # The IP address range of the other virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            forwarders {
            168.63.129.16;   # Azure recursive resolver         
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    
    • Sostituire i valori 10.0.0.0/16 e 10.1.0.0/16 all'interno degli intervalli di indirizzi IP delle reti virtuali.Replace the 10.0.0.0/16 and 10.1.0.0/16 values with the IP address ranges of your virtual networks. Questa voce consente alle risorse in ogni rete di eseguire richieste dei server DNS.This entry allows resources in each network to make requests of the DNS servers.

      Tutte le richieste che non riguardano i suffissi DNS delle reti virtuali (ad esempio microsoft.com) vengono gestite dal sistema di risoluzione ricorsiva di Azure.Any requests that are not for the DNS suffixes of the virtual networks (for example, microsoft.com) is handled by the Azure recursive resolver.

  4. Per usare la configurazione, riavviare Bind.To use the configuration, restart Bind. Ad esempio sudo service bind9 restart su entrambi i server DNS.For example, sudo service bind9 restart on both DNS servers.

Dopo avere completato questi passaggi, è possibile connettersi alle risorse nella rete virtuale usando i nomi di dominio completi (FQDN).After completing these steps, you can connect to resources in the virtual network using fully qualified domain names (FQDN). È ora possibile installare HDInsight nella rete virtuale.You can now install HDInsight into the virtual network.

Passaggi successiviNext steps