Delen via

Virtueel netwerkapparaat configureren in Azure HDInsight

  • Artikel

Belangrijk

De volgende informatie is alleen vereist als u een ander virtueel netwerkapparaat (NVA) dan Azure Firewall wilt configureren.

De FQDN-tag van Azure Firewall wordt automatisch geconfigureerd om verkeer toe te staan voor veel van de veelgebruikte belangrijke FQDN's. Als u een ander virtueel netwerkapparaat gebruikt, moet u extra functies configureren. Houd rekening met de volgende factoren bij het configureren van uw virtuele netwerkapparaat:

  • Services die geschikt zijn voor service-eindpunten kunnen worden geconfigureerd met service-eindpunten die leiden tot het omzeilen van de NVA, meestal voor kosten- of prestatieoverwegingen.
  • Als ResourceProvider Verbinding maken ion is ingesteld op uitgaand, kunt u privĂ©-eindpunten gebruiken voor de opslag- en SQL-servers voor metastores en hoeft u deze niet toe te voegen aan de NVA.
  • IP-adresafhankelijkheden zijn voor niet-HTTP/S-verkeer (zowel TCP- als UDP-verkeer).
  • FQDN HTTP/HTTPS-eindpunten kunnen worden goedgekeurd in uw NVA-apparaat.
  • Wijs de routetabel toe die u maakt aan uw HDInsight-subnet.

Afhankelijkheden die geschikt zijn voor service-eindpunten

U kunt desgewenst een of meer van de volgende service-eindpunten inschakelen, waardoor de NVA wordt overgeslagen. Deze optie kan handig zijn voor grote hoeveelheden gegevensoverdrachten om kosten te besparen en ook voor prestatieoptimalisaties.

Eindpunt
Azure SQL
Azure Storage
Microsoft Entra ID

IP-adresafhankelijkheden

Eindpunt Details
IP-adressen die hier worden gepubliceerd Deze IP-adressen zijn voor de HDInsight-resourceprovider en moeten worden opgenomen in de UDR om asymmetrische routering te voorkomen. Deze regel is alleen nodig als de ResourceProvider Verbinding maken ion is ingesteld op Inkomend. Als de ResourceProvider Verbinding maken ion is ingesteld op Uitgaand, zijn deze IP-adressen niet nodig in de UDR.
Privé-IP-adressen van Microsoft Entra Domain Services Alleen nodig voor ESP-clusters als de VNET's niet zijn gekoppeld.

FQDN HTTP/HTTPS-afhankelijkheden

U kunt de lijst met afhankelijke FQDN's (meestal Azure Storage en Azure Service Bus) ophalen voor het configureren van uw virtuele netwerkapparaat in deze opslagplaats. Zie hier voor de regionale lijst. Deze afhankelijkheden worden gebruikt door de HDInsight-resourceprovider (RP) voor het maken en bewaken/beheren van clusters. Dit zijn onder andere telemetrie-/diagnostische logboeken, inrichtingsmetagegevens, clusterconfiguraties, scripts, enzovoort. Deze FQDN-afhankelijkheidslijst kan veranderen met het vrijgeven van toekomstige HDInsight-updates.

De volgende lijst bevat enkele FQDN's die nodig kunnen zijn voor besturingssysteem- en beveiligingspatching of certificaatvalidaties tijdens het maken van het cluster en tijdens de levensduur van clusterbewerkingen:

FQDN's voor runtime-afhankelijkheden
azure.archive.ubuntu.com:80
security.ubuntu.com:80
ocsp.msocsp.com:80
ocsp.digicert.com:80
microsoft.com/pki/mscorp/cps/default.htm:443
microsoft.com:80
login.windows.net:443
login.microsoftonline.com:443

Volgende stappen