Indirizzi IP di gestione di HDInsight
Questo articolo elenca gli indirizzi IP usati dai servizi di integrità e gestione di Azure HDInsight. Se si usano gruppi di sicurezza di rete (NSG) o route definite dall'utente (UDR), potrebbe essere necessario aggiungere alcuni di questi indirizzi IP all'elenco allowlist per il traffico di rete in ingresso.
Introduzione
Importante
Nella maggior parte dei casi, è ora possibile usare i tag di servizio per i gruppi di sicurezza di rete, anziché aggiungere manualmente indirizzi IP. Gli indirizzi IP non verranno pubblicati per le nuove aree di Azure e avranno solo tag di servizio pubblicati. Gli indirizzi IP statici per gli indirizzi IP di gestione verranno infine deprecati.
Se si usano gruppi di sicurezza di rete o route definite dall'utente per controllare il traffico in ingresso nel cluster HDInsight, è necessario assicurarsi che il cluster possa comunicare con servizi critici di integrità e gestione di Azure. Alcuni degli indirizzi IP per questi servizi sono specifici dell'area e alcuni di essi si applicano a tutte le aree di Azure. Potrebbe anche essere necessario consentire il traffico dal servizio DNS di Azure se non si usa un DNS personalizzato.
Se sono necessari indirizzi IP per un'area non elencata qui, è possibile usare l'API Individuazione tag del servizio per trovare gli indirizzi IP per l'area. Se non è possibile usare l'API, scaricare il file JSON del tag di servizio e cercare l'area desiderata.
HDInsight esegue la convalida per queste regole con la creazione e la scalabilità del cluster per evitare ulteriori errori. Se la convalida non passa, la creazione e il ridimensionamento hanno esito negativo.
Le sezioni seguenti illustrano gli indirizzi IP specifici che devono essere consentiti.
Servizio DNS di Azure
Se si usa il servizio DNS fornito da Azure, consentire l'accesso a 168.63.129.16 sulla porta 53 per TCP e UDP. Per altre informazioni, vedere il documento Risoluzione dei nomi per macchine virtuali e istanze del ruolo . Se si usa DNS personalizzato, ignorare questo passaggio.
Servizi di integrità e gestione: Tutte le aree
Consentire il traffico dagli indirizzi IP seguenti per i servizi di integrità e gestione di Azure HDInsight, che si applicano a tutte le aree di Azure:
| Indirizzo IP di origine | Destination | Direzione |
|---|---|---|
| 168.61.49.99 | *:443 | In ingresso |
| 23.99.5.239 | *:443 | In ingresso |
| 168.61.48.131 | *:443 | In ingresso |
| 138.91.141.162 | *:443 | In ingresso |
Servizi di integrità e gestione: aree specifiche
Consentire il traffico dagli indirizzi IP elencati per i servizi di integrità e gestione di Azure HDInsight nell'area di Azure specifica in cui si trovano le risorse, fare riferimento alla nota seguente:
Importante
È consigliabile usare la funzionalità tag di servizio per i gruppi di sicurezza di rete. Se sono necessari tag di servizio specifici dell'area, fare riferimento agli intervalli IP di Azure e ai tag di servizio - Cloud pubblico
Per informazioni sugli indirizzi IP da usare per Azure per enti pubblici, vedere il documento Azure Government Intelligence + Analytics (Intelligence e Analisi di Azure per enti pubblici).
Per altre informazioni, vedere Controllare il traffico di rete.
Se si usano route definite dall'utente (UDR), è necessario specificare una route e consentire il traffico in uscita dalla rete virtuale agli INDIRIZZI IP precedenti con l'hop successivo impostato su "Internet".