Share via

Azure HDInsight でネットワーク仮想アプライアンスを構成する

  • [アーティクル]

重要

次の情報が必要なのは、Azure Firewall 以外のネットワーク仮想アプライアンス (NVA) を構成する場合のみです。

Azure Firewall FQDN タグは、多くの一般的で重要な FQDN のトラフィックを許可するように、自動的に構成されます。 別のネットワーク仮想アプライアンスを使うには、追加機能を構成する必要があります。 ネットワーク仮想アプライアンスを構成する場合は、次の要因にご注意ください。

  • サービス エンドポイント対応のサービスは、サービス エンドポイントを使用して構成できます。これにより、通常はコストやパフォーマンスに関する考慮事項のために NVA がバイパスされます。
  • ResourceProviderConnection が "アウトバウンド" に設定されている場合は、メタストア用のストレージと SQL Server でプライベート エンドポイントを使用することができます。この場合、それらを NVA を追加する必要はありません。
  • IP アドレスの依存関係が HTTP/S 以外のトラフィック (TCP トラフィックと UDP トラフィックの両方) に対応しています。
  • FQDN HTTP/HTTPS エンドポイントは、NVA デバイスでの承認が可能です。
  • 作成したルート テーブルを HDInsight サブネットに割り当てます。

サービス エンドポイント対応の依存関係

必要に応じて、次の 1 つ以上のサービス エンドポイントを有効にでき、これにより NVA がバイパスされます。 このオプションは、大量のデータ転送のコストを節約するだけでなく、パフォーマンスの最適化にも役立ちます。

エンドポイント
Azure SQL
Azure Storage
Microsoft Entra ID

IP アドレスの依存関係

エンドポイント 詳細
こちらで発行された IP これらの IP は、HDInsight リソース プロバイダー用であり、非対称ルーティングを回避するために UDR に含める必要があります。 このルールは、ResourceProviderConnection が "インバウンド" に設定されている場合にのみ必要です。 ResourceProviderConnection が "アウトバウンド" に設定されている場合は、UDR でこれらの IP は必要ありません。
Microsoft Entra Domain Services のプライベート IP アドレス VNet がピアリングされていない場合は、ESP クラスターに対してのみ必要です。

FQDN HTTP/HTTPS の依存関係

ネットワーク仮想アプライアンスを構成するための依存 FQDN の一覧 (ほとんどは Azure Storage と Azure Service Bus) は、このリポジトリで取得できます。 リージョンの一覧については、こちらを参照してください。 これらの依存関係は、クラスターを正常に作成および監視/管理するために HDInsight リソース プロバイダー (RP) によって使用されます。 具体的には、テレメトリ/診断ログ、プロビジョニング メタデータ、クラスター関連の構成、スクリプトなどがあります。この FQDN の依存関係の一覧は、HDInsight の今後の更新プログラムのリリースによって変更される可能性があります。

以下の一覧には、クラスターの作成プロセス中およびクラスター操作の有効期間中に、OS とセキュリティのパッチの適用または証明書の検証のために必要になる可能性のある、いくつかの FQDN のみが示されています。

ランタイム依存関係の FQDN
azure.archive.ubuntu.com:80
security.ubuntu.com:80
ocsp.msocsp.com:80
ocsp.digicert.com:80
microsoft.com/pki/mscorp/cps/default.htm:443
microsoft.com:80
login.windows.net:443
login.microsoftonline.com:443

次のステップ