Azure HDInsight で使用されるネットワーク セキュリティ グループ (NSG) サービス タグNetwork security group (NSG) service tags for Azure HDInsight

ネットワーク セキュリティ グループ (NSG) 用の HDInsight サービス タグは、正常性および管理サービスのための IP アドレスのグループです。HDInsight service tags for network security groups (NSGs) are groups of IP addresses for health and management services. これらのグループを使用すると、セキュリティ規則の作成の複雑さを最小限に抑えることができます。These groups help minimize complexity for security rule creation. 特定の IP アドレスからの受信トラフィックを許可するために、ネットワーク セキュリティ グループで管理 IP アドレスを個別に入力する代わりの方法として、サービス タグを使用できます。Service tags provide an alternative method for allowing inbound traffic from specific IP addresses without entering each of the management IP addresses in your network security groups.

これらのサービス タグは、HDInsight サービスによって作成および管理されます。These service tags are created and managed by the HDInsight service. 独自のサービス タグを作成したり、既存のタグを変更したりすることはできません。You can't create your own service tag, or modify an existing tag. サービス タグと一致するアドレス プレフィックスの管理は Microsoft によって行われ、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes that match to the service tag, and automatically updates the service tag as addresses change.

サービス タグの概要Getting started with service tags

ネットワーク セキュリティ グループでサービスタ グを使用するには、次の 2 つのオプションがあります。You have two options for using service tags in your network security groups:

  1. 単一の HDInsight サービ スタグを使用する - このオプションを選択すると、すべてのリージョンでクラスターを監視するために HDInsight サービスによって使用されているすべての IP アドレスに対して、仮想ネットワークが開かれます。Use a single HDInsight service tag - this option will open your virtual network to all of the IP Addresses that the HDInsight service is using to monitor clusters across all regions. このオプションは最も簡単な方法ですが、セキュリティ要件の制限が厳しい場合は適さないことがあります。This option is the simplest method, but may not be appropriate if you have restrictive security requirements.

  2. リージョンごとに複数のサービス タグを使用する - このオプションを選択すると、その特定のリージョンで HDInsight によって使用されている IP アドレスに対してのみ、仮想ネットワークが開かれます。Use multiple regional service tags - this option will open your virtual network to only the IP Addresses that HDInsight is using in that specific region. ただし、複数のリージョンを使用している場合は、複数のサービス タグを仮想ネットワークに追加する必要があります。However, if you're using multiple regions, then you'll need to add multiple service tags to your virtual network.

単一のグローバル HDInsight サービス タグを使用するUse a single global HDInsight service tag

HDInsight クラスターでサービス タグを使い始める最も簡単な方法は、ネットワーク セキュリティ グループの規則にグローバル タグ HDInsight を追加することです。The easiest way to begin using service tags with your HDInsight cluster is to add the global tag HDInsight to a network security group rule.

  1. [Azure portal] で、使用しているネットワーク セキュリティ グループを選択します。From the Azure portal, select your network security group.

  2. [設定][受信セキュリティ規則] を選択し、 [+ 追加] を選択します。Under Settings, select Inbound security rules, and then select + Add.

  3. [ソース] ドロップダウン リストで、 [サービス タグ] を選択します。From the Source drop-down list, select Service Tag.

  4. [発信元サービス タグ] ドロップダウン リストから、 [HDInsight] を選択します。From the Source service tag drop-down list, select HDInsight.

    Azure portal のサービス タグの追加

このタグを使うと、HDInsight が使用可能なすべてのリージョンの正常性および管理サービスの IP アドレスが組み込まれ、クラスターが作成された場所に関係なく、必要な正常性および管理サービスと通信できることが保証されます。This tag contains the IP addresses of health and management services for all of the regions where HDInsight is available, and will ensure that your cluster can communicate with the necessary health and management services no matter where it's created.

リージョンごとの HDInsight サービス タグを使用するUse regional HDInsight service tags

より制限の厳しいアクセス許可が必要になるため、1 番目のオプションが機能しない場合は、お使いのリージョンに適用されるサービス タグだけを許可することができます。If option one won't work because you need more restrictive permissions, then you can allow only the service tags applicable for your region. クラスターが作成されるリージョンに応じて、1 つ、2 つ、または 3 つのサービス タグを適用できます。The applicable service tags may be one, two, or three service tags, depending on the region where your cluster is created.

リージョンに追加されるサービス タグを確認するには、以下のセクションを参照してください。To find out which service tags to add for your region, read the following sections of the document.

1 つのリージョン サービス タグを使用するUse a single regional service tag

2 番目のサービス タグ オプションを使い、クラスターがこの表に記載されているいずれかのリージョンにある場合は、1 つのリージョン サービス タグをネットワーク セキュリティ グループに追加するだけで済みます。If you prefer service tag option two, and your cluster is located in one of the regions listed in this table, then you only need to add a single regional service tag to your network security group.

CountryCountry リージョンRegion サービス タグService tag
オーストラリアAustralia オーストラリア東部Australia East HDInsight.AustraliaEastHDInsight.AustraliaEast
  オーストラリア南東部Australia Southeast HDInsight.AustraliaSoutheastHDInsight.AustraliaSoutheast
  オーストラリア中部Australia Central HDInsight.AustraliaCentralHDInsight.AustraliaCentral
中国China 中国東部 2China East 2 HDInsight.ChinaEast2HDInsight.ChinaEast2
  中国北部 2China North 2 HDInsight.ChinaNorth2HDInsight.ChinaNorth2
United StatesUnited States 米国中北部North Central US HDInsight.NorthCentralUSHDInsight.NorthCentralUS
  米国西部 2West US 2 HDInsight.WestUS2HDInsight.WestUS2
  米国中西部West Central US HDInsight.WestCentralUSHDInsight.WestCentralUS
CanadaCanada カナダ東部Canada East HDInsight.CanadaEastHDInsight.CanadaEast
ブラジルBrazil ブラジル南部Brazil South HDInsight.BrazilSouthHDInsight.BrazilSouth
韓国Korea 韓国中部Korea Central HDInsight.KoreaCentralHDInsight.KoreaCentral
  韓国南部Korea South HDInsight.KoreaSouthHDInsight.KoreaSouth
インドIndia インド中部Central India HDInsight.CentralIndiaHDInsight.CentralIndia
  インド南部South India HDInsight.SouthIndiaHDInsight.SouthIndia
日本Japan 西日本Japan West HDInsight.JapanWestHDInsight.JapanWest
フランスFrance フランス中部France Central HDInsight.FranceCentralHDInsight.FranceCentral
英国UK 英国南部UK South HDInsight.UKSouthHDInsight.UKSouth
Azure GovernmentAzure Government USDoD 中部USDoD Central HDInsight.USDoDCentralHDInsight.USDoDCentral
  米国政府テキサスUSGov Texas HDInsight.USGovTexasHDInsight.USGovTexas
  USDoD 東部UsDoD East HDInsight.USDoDEastHDInsight.USDoDEast

複数のリージョン サービス タグを使用するUse multiple regional service tags

2 番目のサービス タグ オプションを使い、クラスターが作成されるリージョンが上の一覧に含まれない場合は、複数のリージョン サービス タグを許可する必要があります。If you prefer service tag option two, and the region where your cluster is created wasn't listed above, then you need to allow multiple regional service tags. 複数のリージョンを使用する必要があるのは、リージョンによってリソース プロバイダーの配置に違いがあるためです。The need to use more than one is due to differences in the arrangement of resource providers for the various regions.

残りのリージョンは、使用されるリージョン サービス タグに基づいてグループに分割されます。The remaining regions are divided into groups based on which regional service tags they use.

グループ 1Group 1

次の表のいずれかのリージョンにクラスターが作成される場合は、一覧で示されているリージョン サービス タグに加えて、サービス タグ HDInsight.WestUSHDInsight.EastUS を許可します。If your cluster is created in one of the regions in the table below, allow the service tags HDInsight.WestUS and HDInsight.EastUS in addition to the regional service tag listed. このセクションのリージョンには、3 つのサービス タグが必要です。Regions in this section require three service tags.

たとえば、クラスターが East US 2 リージョンに作成される場合は、次のサービス タグをネットワーク セキュリティ グループに追加する必要があります。For example, if your cluster is created in the East US 2 region, then you'll need to add the following service tags to your network security group:

  • HDInsight.EastUS2
  • HDInsight.WestUS
  • HDInsight.EastUS
CountryCountry リージョンRegion サービス タグService tag
United StatesUnited States 米国東部 2East US 2 HDInsight.EastUS2HDInsight.EastUS2
  米国中部Central US HDInsight.CentralUSHDInsight.CentralUS
  米国中北部NorthCentral US HDInsight.HDInsight. NorthCentralUSNorthCentralUS
  米国中南部South Central US HDInsight.SouthCentralUSHDInsight.SouthCentralUS
  East USEast US HDInsight.EastUSHDInsight.EastUS
  米国西部West US HDInsight.WestUSHDInsight.WestUS
日本Japan 東日本Japan East HDInsight.JapanEastHDInsight.JapanEast
ヨーロッパEurope 北ヨーロッパNorth Europe HDInsight.NorthEuropeHDInsight.NorthEurope
  西ヨーロッパWest Europe HDInsight.WestEuropeHDInsight.WestEurope
AsiaAsia 東アジアEast Asia HDInsight.EastAsiaHDInsight.EastAsia
  東南アジアSoutheast Asia HDInsight.SoutheastAsiaHDInsight.SoutheastAsia
オーストラリアAustralia オーストラリア東部Australia East HDInsight.AustraliaEastHDInsight.AustraliaEast

グループ 2Group 2

中国北部および中国東部リージョンのクラスターでは、2 つのサービス タグ HDInsight.ChinaNorthHDInsight.ChinaEast を許可する必要があります。Clusters in the regions of China North and China East, need to allow two service tags: HDInsight.ChinaNorth and HDInsight.ChinaEast.

グループ 3Group 3

US Gov アイオワおよび US Gov バージニア リージョンのクラスターでは、2 つのサービス タグ HDInsight.USGovIowaHDInsight.USGovVirginia を許可する必要があります。Clusters in the regions of US Gov Iowa and US Gov Virginia, need to allow two service tags: HDInsight.USGovIowa and HDInsight.USGovVirginia.

グループ 4Group 4

ドイツ中部およびドイツ北東部リージョンのクラスターでは、2 つのサービス タグ HDInsight.GermanyCentralHDInsight.GermanyNorthEast を許可する必要があります。Clusters in the regions of Germany Central and Germany Northeast, need to allow two service tags: HDInsight.GermanyCentral and HDInsight.GermanyNorthEast.

次のステップNext steps