Azure HDInsight met behulp van een Azure-netwerk uitbreidenExtend Azure HDInsight using an Azure Virtual Network

Informatie over het gebruik van HDInsight met een Azure Virtual Network.Learn how to use HDInsight with an Azure Virtual Network. Met behulp van een Azure Virtual Network kunt de volgende scenario's:Using an Azure Virtual Network enables the following scenarios:

  • Verbinding maken met HDInsight rechtstreeks vanuit een on-premises netwerk.Connecting to HDInsight directly from an on-premises network.

  • Verbinding maken met HDInsight gegevens opslaat in een Azure-netwerk.Connecting HDInsight to data stores in an Azure Virtual network.

  • Rechtstreeks toegang hebben tot Apache Hadoop services die niet beschikbaar openbaar via internet zijn.Directly accessing Apache Hadoop services that are not available publicly over the internet. Bijvoorbeeld, Apache Kafka API's of de Apache HBase Java-API.For example, Apache Kafka APIs or the Apache HBase Java API.

Belangrijk

Na 28 februari 2019, wordt de netwerkbronnen (zoals NIC's, LBs, enzovoort) voor nieuwe clusters die zijn gemaakt in een VNET in dezelfde resourcegroep voor HDInsight-cluster worden ingericht.After Feb 28, 2019, the networking resources (such as NICs, LBs, etc) for NEW clusters created in a VNET will be provisioned in the same HDInsight cluster resource group. Eerder zijn deze resources ingericht in de resourcegroep van de VNET.Previously, these resources were provisioned in the VNET resource group. Er is geen wijziging aan de huidige actieve clusters en deze clusters die zijn gemaakt zonder een VNET.There is no change to the current running clusters and those clusters created without a VNET.

Vereisten voor codevoorbeelden en voorbeeldenPrerequisites for code samples and examples

  • Een goed begrip van TCP/IP-netwerken.An understanding of TCP/IP networking. Als u niet bekend met TCP/IP-netwerken bent, moet u samenwerken met iemand die dit voordat u wijzigingen in productienetwerken.If you are not familiar with TCP/IP networking, you should partner with someone who is before making modifications to production networks.
  • Als u PowerShell gebruikt, moet u de AZ Module.If using PowerShell, you will need the AZ Module.
  • Als die u wilt gebruiken Azure CLI en u nog niet hebt geïnstalleerd het, raadpleegt u Azure CLI installeren.If wanting to use Azure CLI and you have not yet installed it, see Install the Azure CLI.

Belangrijk

Als u zoekt met stapsgewijze instructies voor het verbinden van HDInsight met uw on-premises netwerk met behulp van een Azure Virtual Network, raadpleegt u de HDInsight verbinden met uw on-premises netwerk document.If you are looking for step by step guidance on connecting HDInsight to your on-premises network using an Azure Virtual Network, see the Connect HDInsight to your on-premises network document.

PlanningPlanning

Hier volgen de vragen die u beantwoorden moet bij het plannen voor het installeren van HDInsight in een virtueel netwerk:The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Moet u voor het installeren van HDInsight in een bestaand virtueel netwerk?Do you need to install HDInsight into an existing virtual network? Of maakt u een nieuw netwerk?Or are you creating a new network?

    Als u van een bestaand virtueel netwerk gebruikmaakt, moet u mogelijk om te wijzigen van de netwerkconfiguratie voordat u kunt ook HDInsight installeren.If you are using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. Zie voor meer informatie de HDInsight toevoegen aan een bestaand virtueel netwerk sectie.For more information, see the add HDInsight to an existing virtual network section.

  • Wilt u verbinding maken met het virtuele netwerk met HDInsight op een ander virtueel netwerk of uw on-premises netwerk?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Als u wilt eenvoudig werken met resources voor netwerken, moet u een aangepaste DNS-server maken en configureren van DNS-doorsturen.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. Zie voor meer informatie de meerdere netwerken met elkaar verbinden sectie.For more information, see the connecting multiple networks section.

  • Wilt u binnenkomend of uitgaand verkeer naar HDInsight beperken/omleiden?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    HDInsight moet hebben onbeperkte communicatie met specifieke IP-adressen in het Azure-datacentrum.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Er zijn ook verschillende poorten voor clientcommunicatie via firewalls moeten worden toegestaan.There are also several ports that must be allowed through firewalls for client communication. Zie voor meer informatie de netwerkverkeer beheren sectie.For more information, see the controlling network traffic section.

HDInsight toevoegen aan een bestaand virtueel netwerkAdd HDInsight to an existing virtual network

Gebruik de stappen in deze sectie om te ontdekken hoe u een nieuw HDInsight toevoegt aan een bestaand Virtueelnetwerk van Azure.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Notitie

U kunt een bestaand HDInsight-cluster in een virtueel netwerk niet toevoegen.You cannot add an existing HDInsight cluster into a virtual network.

  1. U gebruikt een klassieke of Resource Manager-implementatiemodel voor het virtuele netwerk?Are you using a classic or Resource Manager deployment model for the virtual network?

    HDInsight 3.4 en hoger is vereist voor een virtueel netwerk van Resource Manager.HDInsight 3.4 and greater requires a Resource Manager virtual network. Eerdere versies van HDInsight vereist een klassiek virtueel netwerk.Earlier versions of HDInsight required a classic virtual network.

    Als uw bestaande netwerk een klassiek virtueel netwerk is, moet u een virtueel netwerk van Resource Manager maken en sluit vervolgens de twee.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Klassieke VNets verbinden met nieuwe VNets.Connecting classic VNets to new VNets.

    Eenmaal verbonden, wordt HDInsight geïnstalleerd in het netwerk van Resource Manager kan communiceren met resources in het klassieke netwerk.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Geforceerde tunneling gebruikenDo you use forced tunneling? Geforceerde tunneling is een subnetinstelling die ervoor zorgt het uitgaande internetverkeer met een apparaat voor controle dat en logboekregistratie.Forced tunneling is a subnet setting that forces outbound Internet traffic to a device for inspection and logging. HDInsight biedt geen ondersteuning voor geforceerde tunneling.HDInsight does not support forced tunneling. Verwijder geforceerde tunnels zijn voordat u HDInsight implementeert in een bestaand subnet of maakt u een nieuw subnet met geen geforceerde tunnels voor HDInsight.Either remove forced tunneling before deploying HDInsight into an existing subnet, or create a new subnet with no forced tunneling for HDInsight.

  3. Moet u netwerkbeveiligingsgroepen, de gebruiker gedefinieerde routes of de virtuele netwerkapparaten gebruiken om te beperken het verkeer naar of uit het virtuele netwerk?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    Als een beheerde service vereist HDInsight onbeperkte toegang tot verschillende IP-adressen in het Azure-datacentrum.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Als u wilt toestaan dat communicatie met deze IP-adressen, werken alle bestaande netwerkbeveiligingsgroepen of de gebruiker gedefinieerde routes.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    HDInsight als host fungeert voor meerdere services, die verschillende poorten gebruiken.HDInsight hosts multiple services, which use a variety of ports. Verkeer naar deze poorten niet blokkeren.Do not block traffic to these ports. Zie de sectie beveiliging voor een lijst met poorten om toe te staan via de firewalls virtueel apparaat.For a list of ports to allow through virtual appliance firewalls, see the Security section.

    Als u uw bestaande beveiligingsconfiguratie zoekt, gebruikt u de volgende Azure PowerShell of Azure CLI-opdrachten:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • NetwerkbeveiligingsgroepenNetwork security groups

      Vervang RESOURCEGROUP met de naam van de resourcegroep waarin het virtuele netwerk bevat en voer vervolgens de opdracht:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzNetworkSecurityGroup -ResourceGroupName  "RESOURCEGROUP"
      
      az network nsg list --resource-group RESOURCEGROUP
      

      Zie voor meer informatie de problemen met netwerkbeveiligingsgroepen oplossen document.For more information, see the Troubleshoot network security groups document.

      Belangrijk

      Regels voor netwerkbeveiligingsgroepen worden toegepast in volgorde op basis van Regelprioriteit.Network security group rules are applied in order based on rule priority. De eerste regel die overeenkomt met het patroon verkeer wordt toegepast en geen andere voor dat verkeer worden toegepast.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. Volgorde de regels van de meest strikte op minimaal.Order rules from most permissive to least permissive. Zie voor meer informatie de netwerkverkeer filteren met netwerkbeveiligingsgroepen document.For more information, see the Filter network traffic with network security groups document.

    • Door de gebruiker gedefinieerde routesUser-defined routes

      Vervang RESOURCEGROUP met de naam van de resourcegroep waarin het virtuele netwerk bevat en voer vervolgens de opdracht:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzRouteTable -ResourceGroupName "RESOURCEGROUP"
      
      az network route-table list --resource-group RESOURCEGROUP
      

      Zie voor meer informatie de problemen met routes oplossen document.For more information, see the Troubleshoot routes document.

  4. Een HDInsight-cluster maken en selecteer het Azure-netwerk tijdens de configuratie.Create an HDInsight cluster and select the Azure Virtual Network during configuration. Gebruik de stappen in de volgende documenten om te begrijpen van het proces voor het maken van cluster:Use the steps in the following documents to understand the cluster creation process:

    Belangrijk

    HDInsight toe te voegen aan een virtueel netwerk is een optionele configuratie-stap.Adding HDInsight to a virtual network is an optional configuration step. Zorg ervoor dat het virtuele netwerk selecteert wanneer het cluster te configureren.Be sure to select the virtual network when configuring the cluster.

Meerdere netwerken met elkaar verbindenConnecting multiple networks

De grootste uitdaging met een configuratie met meerdere netwerken is de naamomzetting tussen de netwerken.The biggest challenge with a multi-network configuration is name resolution between the networks.

Azure biedt naamomzetting voor Azure-services die zijn geïnstalleerd in een virtueel netwerk.Azure provides name resolution for Azure services that are installed in a virtual network. Deze ingebouwde naamomzetting kan HDInsight verbinden met de volgende bronnen met behulp van een volledig gekwalificeerde domeinnaam (FQDN):This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • Een resource die beschikbaar is op het internet.Any resource that is available on the internet. Bijvoorbeeld microsoft.com, windowsupdate.com.For example, microsoft.com, windowsupdate.com.

  • Een resource die zich in hetzelfde Azure virtuele netwerk, met behulp van de interne DNS-naam van de resource.Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Bijvoorbeeld, wanneer u de standaard-naamomzetting, zijn de volgende voorbeeld van de interne DNS-namen die aan HDInsight worker-knooppunten zijn toegewezen:For example, when using the default name resolution, the following are example internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Deze beide knooppunten kunnen communiceren rechtstreeks met elkaar en andere knooppunten in HDInsight, met behulp van de interne DNS-namen.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

De standaard-naamomzetting is niet HDInsight om op te lossen de namen van resources in netwerken die zijn gekoppeld aan het virtuele netwerk toestaan.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. Het is bijvoorbeeld gebruikelijk voor uw on-premises netwerk koppelen aan het virtuele netwerk.For example, it is common to join your on-premises network to the virtual network. Met alleen de standaard de naam van oplossing HDInsight kan geen toegang krijgen tot bronnen in de on-premises netwerk met de naam.With only the default name resolution, HDInsight cannot access resources in the on-premises network by name. Het omgekeerde geldt ook, resources in uw on-premises netwerk heeft geen toegang tot resources in het virtuele netwerk met de naam.The opposite is also true, resources in your on-premises network cannot access resources in the virtual network by name.

Waarschuwing

U moet de aangepaste DNS-server maken en configureren van het virtuele netwerk wilt gebruiken voor het HDInsight-cluster te maken.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

Om in te schakelen naamomzetting tussen het virtuele netwerk en de resources in een domein netwerken, moet u de volgende acties uitvoeren:To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Maak een aangepaste DNS-server in de Azure-netwerk waar u van plan bent voor het installeren van HDInsight.Create a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. Het virtuele netwerk voor het gebruik van de aangepaste DNS-server configureren.Configure the virtual network to use the custom DNS server.

  3. Zoek dat de Azure DNS-achtervoegsel voor het virtuele netwerk toegewezen.Find the Azure assigned DNS suffix for your virtual network. Deze waarde is vergelijkbaar met 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. Zie voor meer informatie over het zoeken van de DNS-achtervoegsel in de voorbeeld: Aangepaste DNS sectie.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Doorsturen van tussen de DNS-servers configureren.Configure forwarding between the DNS servers. De configuratie, is afhankelijk van het type van het externe netwerk.The configuration depends on the type of remote network.

    • Als het externe netwerk een on-premises netwerk is, configureren van DNS als volgt:If the remote network is an on-premises network, configure DNS as follows:

      • Aangepaste DNS (in het virtuele netwerk):Custom DNS (in the virtual network):

        • Aanvragen doorsturen voor de DNS-achtervoegsel van het virtuele netwerk naar de conflictoplosser Azure recursieve (168.63.129.16).Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). Azure regelt aanvragen voor bronnen in het virtuele netwerkAzure handles requests for resources in the virtual network

        • Alle andere verzoeken naar de lokale DNS-server doorsturen.Forward all other requests to the on-premises DNS server. De on-premises DNS verwerkt alle andere aanvragen voor naamomzetting, zelfs aanvragen voor resources op internet, zoals Microsoft.com.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • On-premises DNS: Aanvragen doorsturen voor het virtuele netwerk DNS-achtervoegsel voor de aangepaste DNS-server.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. De aangepaste DNS-server stuurt vervolgens door naar de Azure recursieve naamomzetting.The custom DNS server then forwards to the Azure recursive resolver.

        Deze configuratie routes aanvragen voor FQDN-namen die het DNS-achtervoegsel van het virtuele netwerk naar het aangepaste DNS-server bevatten.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Alle andere aanvragen (zelfs voor openbare internet-adressen) worden verwerkt door de on-premises DNS-server.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Als het externe netwerk een ander Virtueelnetwerk van Azure is, configureren van DNS als volgt:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • Aangepaste DNS (in elk virtueel netwerk):Custom DNS (in each virtual network):

        • Aanvragen voor de DNS-achtervoegsel van de virtuele netwerken worden doorgestuurd naar de aangepaste DNS-servers.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. De DNS-server in elk virtueel netwerk is verantwoordelijk voor het oplossen van resources in het netwerk.The DNS in each virtual network is responsible for resolving resources within its network.

        • Alle andere aanvragen doorsturen naar de Azure recursieve naamomzetting.Forward all other requests to the Azure recursive resolver. De recursieve naamomzetting is verantwoordelijk voor het omzetten van lokale en resources op internet.The recursive resolver is responsible for resolving local and internet resources.

        De DNS-server voor elk netwerk stuurt aanvragen door naar de andere, op basis van DNS-achtervoegsel.The DNS server for each network forwards requests to the other, based on DNS suffix. Andere aanvragen worden omgezet met behulp van de Azure recursieve naamomzetting.Other requests are resolved using the Azure recursive resolver.

      Zie voor een voorbeeld van elke configuratie, de voorbeeld: Aangepaste DNS sectie.For an example of each configuration, see the Example: Custom DNS section.

Zie voor meer informatie de naamomzetting voor VM's en Rolexemplaren document.For more information, see the Name Resolution for VMs and Role Instances document.

Rechtstreeks verbinding maken met Apache Hadoop-servicesDirectly connect to Apache Hadoop services

U kunt verbinding maken met het cluster op https://CLUSTERNAME.azurehdinsight.net.You can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. Dit adres maakt gebruik van een openbaar IP-adres, die mogelijk niet bereikbaar als u nsg's hebt gebruikt om te beperken van inkomend verkeer van internet.This address uses a public IP, which may not be reachable if you have used NSGs to restrict incoming traffic from the internet. Bovendien wanneer u het cluster in een VNet implementeert u het kunt openen met behulp van de persoonlijke eindpunt https://CLUSTERNAME-int.azurehdinsight.net.Additionally, when you deploy the cluster in a VNet you can access it using the private endpoint https://CLUSTERNAME-int.azurehdinsight.net. Dit eindpunt wordt omgezet naar een privé IP-adres binnen het VNet voor toegang tot het cluster.This endpoint resolves to a private IP inside the VNet for cluster access.

Als u wilt verbinding maken met Apache Ambari en andere webpagina's met het virtuele netwerk, gebruikt u de volgende stappen uit:To connect to Apache Ambari and other web pages through the virtual network, use the following steps:

  1. Voor het detecteren van de interne volledig gekwalificeerde domeinnamen (FQDN) van de HDInsight-clusterknooppunten, moet u een van de volgende methoden gebruiken:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    Vervang RESOURCEGROUP met de naam van de resourcegroep waarin het virtuele netwerk bevat en voer vervolgens de opdracht:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $clusterNICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP" | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group RESOURCEGROUP --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    In de lijst met knooppunten die zijn geretourneerd, de FQDN-naam vinden voor de hoofdknooppunten en de FQDN's gebruiken voor verbinding met Ambari en andere web-services.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Gebruik bijvoorbeeld http://<headnode-fqdn>:8080 voor toegang tot de Ambari.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Belangrijk

    Sommige services die worden gehost op de hoofdknooppunten zijn alleen actief is op één knooppunt tegelijk.Some services hosted on the head nodes are only active on one node at a time. Als u probeert toegang tot een service op één hoofdknooppunt en er een 404-fout retourneert, kunt u overschakelen naar het hoofdknooppunt.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Zie het vaststellen van het knooppunt en de poort die een service is beschikbaar in de poorten die worden gebruikt door de services van Hadoop op HDInsight document.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Beheren van netwerkverkeerControlling network traffic

Technieken voor het beheren van binnenkomend en uitgaand verkeer naar HDInsight-clustersTechniques for controlling inbound and outbound traffic to HDInsight clusters

Het netwerkverkeer in een virtuele Azure-netwerken kan worden beheerd met behulp van de volgende methoden:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • Netwerkbeveiligingsgroepen (NSG) kunt u binnenkomend en uitgaand verkeer met het netwerk te filteren.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. Zie voor meer informatie de netwerkverkeer filteren met netwerkbeveiligingsgroepen document.For more information, see the Filter network traffic with network security groups document.

  • Virtuele netwerkapparaten (NVA) kan worden gebruikt met alleen uitgaand verkeer.Network virtual appliances (NVA) can be used with outbound traffic only. NVA's in repliceren de functionaliteit van apparaten, zoals firewalls en routers.NVAs replicate the functionality of devices such as firewalls and routers. Zie voor meer informatie de netwerkapparaten document.For more information, see the Network Appliances document.

Als een beheerde service HDInsight vereist onbeperkte toegang tot de HDInsight-status en beheer van services voor binnenkomende en uitgaande verkeer van het VNET.As a managed service, HDInsight requires unrestricted access to the HDInsight health and management services both for incoming and outgoing traffic from the VNET. Wanneer u nsg's gebruikt, moet u ervoor zorgen dat deze services nog steeds met HDInsight-cluster communiceren kunnen.When using NSGs, you must ensure that these services can still communicate with HDInsight cluster.

Diagram van HDInsight-entiteiten die zijn gemaakt in Azure aangepaste VNET

HDInsight met netwerkbeveiligingsgroepenHDInsight with network security groups

Als u van plan over het gebruik van bent netwerkbeveiligingsgroepen netwerkverkeer beheren, voert u de volgende acties voor de installatie van HDInsight:If you plan on using network security groups to control network traffic, perform the following actions before installing HDInsight:

  1. Identificeer de Azure-regio die u wilt gebruiken voor HDInsight.Identify the Azure region that you plan to use for HDInsight.

  2. Identificeer de IP-adressen vereist voor HDInsight.Identify the IP addresses required by HDInsight. Zie voor meer informatie de IP-adressen die zijn vereist voor HDInsight sectie.For more information, see the IP Addresses required by HDInsight section.

  3. Maken of wijzigen van de netwerk-beveiligingsgroepen voor het subnet dat u van plan bent voor het installeren van HDInsight in.Create or modify the network security groups for the subnet that you plan to install HDInsight into.

    • Netwerkbeveiligingsgroepen: toestaan inkomende verkeer op poort 443 uit het IP-adressen.Network security groups: allow inbound traffic on port 443 from the IP addresses. Dit zorgt ervoor dat het cluster op basis van buiten het virtuele netwerk door HDInsight management-services bereiken kunnen.This will ensure that HDInsight management services can reach the cluster from outside the virtual network.

Zie voor meer informatie over netwerkbeveiligingsgroepen het overzicht van netwerkbeveiligingsgroepen.For more information on network security groups, see the overview of network security groups.

Uitgaand verkeer van HDInsight-clusters beherenControlling outbound traffic from HDInsight clusters

Zie voor meer informatie over het beheren van uitgaande verkeer van HDInsight-clusters uitgaand verkeer voor netwerkbeperking configureren voor Azure HDInsight-clusters.For more information on controlling outbound traffic from HDInsight clusters, see Configure outbound network traffic restriction for Azure HDInsight clusters.

Geforceerde tunneling on-premisesForced tunneling to on-premise

Geforceerde tunneling vindt een door de gebruiker gedefinieerde routering configuratie waarin al het verkeer van een subnet naar een specifieke netwerk- of -locatie, zoals uw on-premises netwerk wordt geforceerd.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight biedt niet ondersteuning geforceerde tunneling van verkeer naar on-premises netwerken.HDInsight does not support forced tunneling of traffic to on-premises networks.

Vereiste IP-adressenRequired IP addresses

Belangrijk

De Azure status en management-services moet kunnen communiceren met HDInsight.The Azure health and management services must be able to communicate with HDInsight. Als u netwerkbeveiligingsgroepen of de gebruiker gedefinieerde routes, verkeer van de IP-adressen voor deze services te bereiken HDInsight toestaan.If you use network security groups or user-defined routes, allow traffic from the IP addresses for these services to reach HDInsight.

Als u geen netwerkbeveiligingsgroepen of de gebruiker gedefinieerde routes voor het beheren van verkeer gebruikt, kunt u deze sectie overslaan.If you do not use network security groups or user-defined routes to control traffic, you can ignore this section.

Als u netwerkbeveiligingsgroepen gebruikt, moet u verkeer van de Azure status en management-services tot HDInsight-clusters op poort 443 toestaan.If you use network security groups, you must allow traffic from the Azure health and management services to reach HDInsight clusters on port 443. U moet ook verkeer tussen virtuele machines binnen het subnet toestaat.You must also allow traffic between VMs inside the subnet. Gebruik de volgende stappen uit om te vinden van de IP-adressen die moeten worden toegestaan:Use the following steps to find the IP addresses that must be allowed:

  1. U moet altijd verkeer van de volgende IP-adressen toestaan:You must always allow traffic from the following IP addresses:

    IP-adres van bronSource IP address BestemmingDestination DirectionDirection
    168.61.49.99168.61.49.99 *:443*:443 InkomendInbound
    23.99.5.23923.99.5.239 *:443*:443 InkomendInbound
    168.61.48.131168.61.48.131 *:443*:443 InkomendInbound
    138.91.141.162138.91.141.162 *:443*:443 InkomendInbound
  2. Als uw HDInsight-cluster zich in een van de volgende regio's, moet u verkeer van de IP-adressen die worden vermeld voor de regio toestaan:If your HDInsight cluster is in one of the following regions, then you must allow traffic from the IP addresses listed for the region:

    Belangrijk

    Als de Azure-regio u niet wordt vermeld, klikt u vervolgens alleen de vier IP-adressen gebruiken uit stap 1.If the Azure region you are using is not listed, then only use the four IP addresses from step 1.

    Land/regioCountry RegioRegion Toegestane bron-IP-adressenAllowed Source IP addresses Toegestane doelAllowed Destination DirectionDirection
    AziëAsia Azië - oostEast Asia 23.102.235.12223.102.235.122
    52.175.38.13452.175.38.134
    *:443*:443 InkomendInbound
      Azië - zuidoostSoutheast Asia 13.76.245.16013.76.245.160
    13.76.136.24913.76.136.249
    *:443*:443 InkomendInbound
    AustraliëAustralia Australië - centraalAustralia Central 20.36.36.3320.36.36.33
    20.36.36.19620.36.36.196
    *:443*:443 InkomendInbound
      Australië - oostAustralia East 104.210.84.115104.210.84.115
    13.75.152.19513.75.152.195
    *:443*:443 InkomendInbound
      Australië - zuidoostAustralia Southeast 13.77.2.5613.77.2.56
    13.77.2.9413.77.2.94
    *:443*:443 InkomendInbound
    BraziliëBrazil Brazilië - zuidBrazil South 191.235.84.104191.235.84.104
    191.235.87.113191.235.87.113
    *:443*:443 InkomendInbound
    CanadaCanada Canada - oostCanada East 52.229.127.9652.229.127.96
    52.229.123.17252.229.123.172
    *:443*:443 InkomendInbound
      Canada - middenCanada Central 52.228.37.6652.228.37.66
    52.228.45.22252.228.45.222
    *: 443*: 443 InkomendInbound
    ChinaChina China - noordChina North 42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219

    42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157
    *:443*:443 InkomendInbound
      China EastChina East 42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157

    42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219
    *:443*:443 InkomendInbound
      China - noord 2China North 2 40.73.37.14140.73.37.141
    40.73.38.17240.73.38.172
    *:443*:443 InkomendInbound
      China - oost 2China East 2 139.217.227.106139.217.227.106
    139.217.228.187139.217.228.187
    *:443*:443 InkomendInbound
    EuropaEurope Europa - noordNorth Europe 52.164.210.9652.164.210.96
    13.74.153.13213.74.153.132
    *:443*:443 InkomendInbound
      Europa -westWest Europe 52.166.243.9052.166.243.90
    52.174.36.24452.174.36.244
    *:443*:443 InkomendInbound
    FrankrijkFrance Frankrijk - centraalFrance Central 20.188.39.6420.188.39.64
    40.89.157.13540.89.157.135
    *:443*:443 InkomendInbound
    DuitslandGermany Duitsland - centraalGermany Central 51.4.146.6851.4.146.68
    51.4.146.8051.4.146.80
    *:443*:443 InkomendInbound
      Duitsland - noordoostGermany Northeast 51.5.150.13251.5.150.132
    51.5.144.10151.5.144.101
    *:443*:443 InkomendInbound
    IndiaIndia India - centraalCentral India 52.172.153.20952.172.153.209
    52.172.152.4952.172.152.49
    *:443*:443 InkomendInbound
      India - zuidSouth India 104.211.223.67104.211.223.67
    104.211.216.210104.211.216.210
    *:443*:443 InkomendInbound
    JapanJapan Japan - oostJapan East 13.78.125.9013.78.125.90
    13.78.89.6013.78.89.60
    *:443*:443 InkomendInbound
      Japan - westJapan West 40.74.125.6940.74.125.69
    138.91.29.150138.91.29.150
    *:443*:443 InkomendInbound
    KoreaKorea Korea - centraalKorea Central 52.231.39.14252.231.39.142
    52.231.36.20952.231.36.209
    *:443*:443 InkomendInbound
      Korea - zuidKorea South 52.231.203.1652.231.203.16
    52.231.205.21452.231.205.214
    *:443*:443 InkomendInbound
    Verenigd KoninkrijkUnited Kingdom Verenigd Koninkrijk WestUK West 51.141.13.11051.141.13.110
    51.141.7.2051.141.7.20
    *:443*:443 InkomendInbound
      Verenigd Koninkrijk ZuidUK South 51.140.47.3951.140.47.39
    51.140.52.1651.140.52.16
    *:443*:443 InkomendInbound
    Verenigde StatenUnited States US - centraalCentral US 13.89.171.12213.89.171.122
    13.89.171.12413.89.171.124
    *:443*:443 InkomendInbound
      US - oostEast US 13.82.225.23313.82.225.233
    40.71.175.9940.71.175.99
    *:443*:443 InkomendInbound
      US - noord-centraalNorth Central US 157.56.8.38157.56.8.38
    157.55.213.99157.55.213.99
    *:443*:443 InkomendInbound
      US - west-centraalWest Central US 52.161.23.1552.161.23.15
    52.161.10.16752.161.10.167
    *:443*:443 InkomendInbound
      US - westWest US 13.64.254.9813.64.254.98
    23.101.196.1923.101.196.19
    *:443*:443 InkomendInbound
      US - west 2West US 2 52.175.211.21052.175.211.210
    52.175.222.22252.175.222.222
    *:443*:443 InkomendInbound

    Zie voor informatie over de IP-adressen te gebruiken voor Azure Government, de Azure Government Intelligence en analyse document.For information on the IP addresses to use for Azure Government, see the Azure Government Intelligence + Analytics document.

  3. U moet ook zodat toegang vanaf 168.63.129.16.You must also allow access from 168.63.129.16. Dit adres is van het Azure-recursieve naamomzetting.This address is Azure's recursive resolver. Zie voor meer informatie de naamomzetting voor virtuele machines en de rol exemplaren document.For more information, see the Name resolution for VMs and Role instances document.

Zie voor meer informatie de netwerkverkeer beheren sectie.For more information, see the Controlling network traffic section.

Als u de gebruiker gedefinieerde routes(UDRs) gebruikt, moet u een route opgeven en toegestaan uitgaand verkeer van het VNET naar de bovenstaande IP-adressen met de volgende hop is ingesteld op 'Internet'.If you are using user-defined routes(UDRs), you should specify a route and allow outbound traffic from the VNET to the above IPs with the next hop set to "Internet".

Vereiste poortenRequired ports

Als u van plan over het gebruik van bent een firewall en toegang tot het cluster uit buiten op bepaalde poorten, moet u mogelijk verkeer via deze poorten die nodig zijn voor uw scenario.If you plan on using a firewall and access the cluster from outside on certain ports, you might need to allow traffic on those ports needed for your scenario. Standaard is geen speciale zwarte lijst plaatsen van poorten nodig, zolang het azure managementverkeer wordt uitgelegd in de vorige sectie is toegestaan tot een cluster op poort 443.By default, no special whitelisting of ports is needed as long as the azure management traffic explained in the previous section is allowed to reach cluster on port 443.

Zie voor een lijst met poorten voor specifieke services, de poorten die worden gebruikt door de services van Apache Hadoop op HDInsight document.For a list of ports for specific services, see the Ports used by Apache Hadoop services on HDInsight document.

Zie voor meer informatie over firewall-regels voor virtuele apparaten, de virtueel apparaat scenario document.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

Voorbeeld: netwerkbeveiligingsgroepen met HDInsightExample: network security groups with HDInsight

De voorbeelden in deze sectie laten zien hoe u regels waarmee HDInsight om te communiceren met de Azure management-services voor netwerkbeveiliging maken.The examples in this section demonstrate how to create network security group rules that allow HDInsight to communicate with the Azure management services. Voordat u de voorbeelden, pas de IP-adressen zodat deze overeenkomt met die van de Azure-regio die u gebruikt.Before using the examples, adjust the IP addresses to match the ones for the Azure region you are using. U kunt deze informatie vinden in de HDInsight met netwerkbeveiligingsgroepen en de gebruiker gedefinieerde routes sectie.You can find this information in the HDInsight with network security groups and user-defined routes section.

Azure Resource Manager-sjabloonAzure Resource Management template

De volgende Resource Manager-sjabloon maakt een virtueel netwerk die binnenkomend verkeer wordt beperkt, maar het verkeer van de IP-adressen vereist voor HDInsight maakt.The following Resource Management template creates a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight. Deze sjabloon maakt ook een HDInsight-cluster in het virtuele netwerk.This template also creates an HDInsight cluster in the virtual network.

Azure PowerShellAzure PowerShell

Gebruik de volgende PowerShell-script te maken van een virtueel netwerk die binnenkomend verkeer wordt beperkt en waarmee verkeer van de IP-adressen voor de regio Noord-Europa.Use the following PowerShell script to create a virtual network that restricts inbound traffic and allows traffic from the IP addresses for the North Europe region.

Belangrijk

Wijzigen van de IP-adressen voor hdirule1 en hdirule2 in dit voorbeeld zodat deze overeenkomen met de Azure-regio u gebruikt.Change the IP addresses for hdirule1 and hdirule2 in this example to match the Azure region you are using. U kunt deze informatie vinden in de HDInsight met netwerkbeveiligingsgroepen en de gebruiker gedefinieerde routes sectie.You can find this information in the HDInsight with network security groups and user-defined routes section.

$vnetName = "Replace with your virtual network name"
$resourceGroupName = "Replace with the resource group the virtual network is in"
$subnetName = "Replace with the name of the subnet that you plan to use for HDInsight"

# Get the Virtual Network object
$vnet = Get-AzVirtualNetwork `
    -Name $vnetName `
    -ResourceGroupName $resourceGroupName

# Get the region the Virtual network is in.
$location = $vnet.Location

# Get the subnet object
$subnet = $vnet.Subnets | Where-Object Name -eq $subnetName

# Create a Network Security Group.
# And add exemptions for the HDInsight health and management services.
$nsg = New-AzNetworkSecurityGroup `
    -Name "hdisecure" `
    -ResourceGroupName $resourceGroupName `
    -Location $location `
    | Add-AzNetworkSecurityRuleConfig `
        -name "hdirule1" `
        -Description "HDI health and management address 52.164.210.96" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "52.164.210.96" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 300 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule2" `
        -Description "HDI health and management 13.74.153.132" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "13.74.153.132" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 301 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule3" `
        -Description "HDI health and management 168.61.49.99" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.49.99" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 302 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule4" `
        -Description "HDI health and management 23.99.5.239" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "23.99.5.239" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 303 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule5" `
        -Description "HDI health and management 168.61.48.131" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.48.131" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 304 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule6" `
        -Description "HDI health and management 138.91.141.162" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "138.91.141.162" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 305 `
        -Direction Inbound `

# Set the changes to the security group
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

# Apply the NSG to the subnet
Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $vnet `
    -Name $subnetName `
    -AddressPrefix $subnet.AddressPrefix `
    -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

In dit voorbeeld ziet u hoe u regels voor het toestaan van binnenkomend verkeer op de vereiste IP-adressen toevoegen.This example demonstrates how to add rules to allow inbound traffic on the required IP addresses. Het bevat een regel voor het beperken van binnenkomende toegang uit andere bronnen.It does not contain a rule to restrict inbound access from other sources. De volgende code ziet u hoe u SSH-toegang via Internet inschakelen:The following code demonstrates how to enable SSH access from the Internet:

Get-AzNetworkSecurityGroup -Name hdisecure -ResourceGroupName RESOURCEGROUP |
Add-AzNetworkSecurityRuleConfig -Name "SSH" -Description "SSH" -Protocol "*" -SourcePortRange "*" -DestinationPortRange "22" -SourceAddressPrefix "*" -DestinationAddressPrefix "VirtualNetwork" -Access Allow -Priority 306 -Direction Inbound

Azure-CLIAzure CLI

Gebruik de volgende stappen uit om te maken van een virtueel netwerk dat inkomend verkeer wordt beperkt, maar het verkeer van de IP-adressen vereist voor HDInsight maakt.Use the following steps to create a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight.

  1. Gebruik de volgende opdracht om te maken van een nieuwe netwerkbeveiligingsgroep met de naam hdisecure.Use the following command to create a new network security group named hdisecure. Vervang RESOURCEGROUP met de resourcegroep waarin het Virtueelnetwerk van Azure.Replace RESOURCEGROUP with the resource group that contains the Azure Virtual Network. Vervang LOCATION door de locatie (regio) die in de groep is gemaakt.Replace LOCATION with the location (region) that the group was created in.

    az network nsg create -g RESOURCEGROUP -n hdisecure -l LOCATION
    

    Nadat de groep is gemaakt, ontvangt u informatie over de nieuwe groep.Once the group has been created, you receive information on the new group.

  2. Gebruik de volgende regels toevoegen aan de nieuwe netwerkbeveiligingsgroep waarmee binnenkomende communicatie op poort 443 van de Azure HDInsight-status en management-service.Use the following to add rules to the new network security group that allow inbound communication on port 443 from the Azure HDInsight health and management service. Vervang RESOURCEGROUP met de naam van de resourcegroep waarin het Virtueelnetwerk van Azure.Replace RESOURCEGROUP with the name of the resource group that contains the Azure Virtual Network.

    Belangrijk

    Wijzigen van de IP-adressen voor hdirule1 en hdirule2 in dit voorbeeld zodat deze overeenkomen met de Azure-regio u gebruikt.Change the IP addresses for hdirule1 and hdirule2 in this example to match the Azure region you are using. U kunt deze informatie vinden in de HDInsight met netwerkbeveiligingsgroepen en de gebruiker gedefinieerde routes sectie.You can find this information in the HDInsight with network security groups and user-defined routes section.

    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule1 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "52.164.210.96" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 300 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "13.74.153.132" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 301 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule3 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.49.99" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 302 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule4 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "23.99.5.239" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 303 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.48.131" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 304 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule6 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "138.91.141.162" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 305 --direction "Inbound"
    
  3. Als u wilt ophalen van de unieke id voor deze netwerkbeveiligingsgroep, gebruik de volgende opdracht:To retrieve the unique identifier for this network security group, use the following command:

    az network nsg show -g RESOURCEGROUP -n hdisecure --query "id"
    

    Met deze opdracht retourneert een waarde die vergelijkbaar is met de volgende tekst:This command returns a value similar to the following text:

     "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    
  4. Gebruik de volgende opdracht om toe te passen van de netwerkbeveiligingsgroep aan een subnet.Use the following command to apply the network security group to a subnet. Vervang de GUID en RESOURCEGROUP met de resultaten geretourneerd door de vorige stap.Replace the GUID and RESOURCEGROUP values with the ones returned from the previous step. Vervang VNETNAME en SUBNETNAME met de naam van virtueel netwerk en subnetnaam die u wilt maken.Replace VNETNAME and SUBNETNAME with the virtual network name and subnet name that you want to create.

    az network vnet subnet update -g RESOURCEGROUP --vnet-name VNETNAME --name SUBNETNAME --set networkSecurityGroup.id="/subscriptions/GUID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Als deze opdracht is voltooid, kunt u HDInsight installeren in het Virtueelnetwerk.Once this command completes, you can install HDInsight into the Virtual Network.

Deze stappen is alleen geopend voor toegang tot de HDInsight status en management-service op de Azure-cloud.These steps only open access to the HDInsight health and management service on the Azure cloud. Alle andere toegang tot het HDInsight-cluster op basis van buiten het Virtueelnetwerk is geblokkeerd.Any other access to the HDInsight cluster from outside the Virtual Network is blocked. Als u wilt inschakelen toegang van buiten het virtuele netwerk, moet u extra netwerkbeveiligingsgroepsregels toevoegen.To enable access from outside the virtual network, you must add additional Network Security Group rules.

De volgende code ziet u hoe u SSH-toegang via Internet inschakelen:The following code demonstrates how to enable SSH access from the Internet:

az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n ssh --protocol "*" --source-port-range "*" --destination-port-range "22" --source-address-prefix "*" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 306 --direction "Inbound"

Voorbeeld: DNS-configuratieExample: DNS configuration

Naamomzetting tussen een virtueel netwerk en een netwerk verbonden on-premisesName resolution between a virtual network and a connected on-premises network

In dit voorbeeld wordt de volgende veronderstellingen:This example makes the following assumptions:

  • U hebt een Azure-netwerk dat is verbonden met een on-premises netwerk via een VPN-gateway.You have an Azure Virtual Network that is connected to an on-premises network using a VPN gateway.

  • De aangepaste DNS-server in het virtuele netwerk wordt Linux of Unix worden uitgevoerd als het besturingssysteem.The custom DNS server in the virtual network is running Linux or Unix as the operating system.

  • BIND is geïnstalleerd op de aangepaste DNS-server.Bind is installed on the custom DNS server.

De aangepaste DNS-server in het virtuele netwerk:On the custom DNS server in the virtual network:

  1. Azure PowerShell of Azure CLI gebruiken voor het vinden van de DNS-achtervoegsel van het virtuele netwerk:Use either Azure PowerShell or Azure CLI to find the DNS suffix of the virtual network:

    Vervang RESOURCEGROUP met de naam van de resourcegroep waarin het virtuele netwerk bevat en voer vervolgens de opdracht:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Op de aangepaste DNS-server voor het virtuele netwerk, gebruikt u de volgende tekst als de inhoud van de /etc/bind/named.conf.local bestand:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.local file:

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {168.63.129.16;}; # Azure recursive resolver
    };
    

    Vervang de 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net waarde met de DNS-achtervoegsel van het virtuele netwerk.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of your virtual network.

    Deze configuratie stuurt alle DNS-aanvragen voor de DNS-achtervoegsel van het virtuele netwerk naar de Azure recursieve naamomzetting.This configuration routes all DNS requests for the DNS suffix of the virtual network to the Azure recursive resolver.

  3. Op de aangepaste DNS-server voor het virtuele netwerk, gebruikt u de volgende tekst als de inhoud van de /etc/bind/named.conf.options bestand:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    // TODO: Add the IP range of the joined network to this list
    acl goodclients {
        10.0.0.0/16; # IP address range of the virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            # All other requests are sent to the following
            forwarders {
                192.168.0.1; # Replace with the IP address of your on-premises DNS server
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    
    • Vervang de 10.0.0.0/16 waarde met het IP-adresbereik van het virtuele netwerk.Replace the 10.0.0.0/16 value with the IP address range of your virtual network. Deze vermelding kunt de naam van het probleem zou moeten aanvragen adressen binnen dit bereik.This entry allows name resolution requests addresses within this range.

    • Voeg het IP-adresbereik van de on-premises netwerk naar de acl goodclients { ... } sectie.Add the IP address range of the on-premises network to the acl goodclients { ... } section. vermelding kan aanvragen voor naamomzetting van resources in de on-premises netwerk.entry allows name resolution requests from resources in the on-premises network.

    • Vervang de waarde 192.168.0.1 met het IP-adres van uw on-premises DNS-server.Replace the value 192.168.0.1 with the IP address of your on-premises DNS server. Deze vermelding stuurt alle andere DNS-aanvragen naar de lokale DNS-server.This entry routes all other DNS requests to the on-premises DNS server.

  4. Opnieuw opstarten binding voor het gebruik van de configuratie.To use the configuration, restart Bind. Bijvoorbeeld sudo service bind9 restart.For example, sudo service bind9 restart.

  5. Een voorwaardelijke doorstuurserver toevoegen aan de lokale DNS-server.Add a conditional forwarder to the on-premises DNS server. Configureer de voorwaardelijke doorstuurserver voor het verzenden van aanvragen voor het DNS-achtervoegsel uit stap 1 voor de aangepaste DNS-server.Configure the conditional forwarder to send requests for the DNS suffix from step 1 to the custom DNS server.

    Notitie

    Raadpleeg de documentatie voor uw DNS-software voor meer informatie over het toevoegen van een voorwaardelijke doorstuurserver.Consult the documentation for your DNS software for specifics on how to add a conditional forwarder.

Na het voltooien van deze stappen kunt u verbinding maken met resources in beide netwerken met behulp van de volledig gekwalificeerde domeinnamen (FQDN).After completing these steps, you can connect to resources in either network using fully qualified domain names (FQDN). U kunt nu HDInsight installeren in het virtuele netwerk.You can now install HDInsight into the virtual network.

Naamomzetting tussen de twee verbonden virtuele netwerkenName resolution between two connected virtual networks

In dit voorbeeld wordt de volgende veronderstellingen:This example makes the following assumptions:

  • U hebt twee Azure virtuele netwerken die zijn verbonden via een VPN-gateway of -peering.You have two Azure Virtual Networks that are connected using either a VPN gateway or peering.

  • De aangepaste DNS-server in beide netwerken wordt Linux of Unix worden uitgevoerd als het besturingssysteem.The custom DNS server in both networks is running Linux or Unix as the operating system.

  • BIND is geïnstalleerd op de aangepaste DNS-servers.Bind is installed on the custom DNS servers.

  1. Azure PowerShell of Azure CLI gebruiken voor het vinden van de DNS-achtervoegsel van beide virtuele netwerken:Use either Azure PowerShell or Azure CLI to find the DNS suffix of both virtual networks:

    Vervang RESOURCEGROUP met de naam van de resourcegroep waarin het virtuele netwerk bevat en voer vervolgens de opdracht:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Gebruik de volgende tekst als de inhoud van de /etc/bind/named.config.local bestand op de aangepaste DNS-server.Use the following text as the contents of the /etc/bind/named.config.local file on the custom DNS server. Deze wijziging hebt aangebracht op de aangepaste DNS-server in beide virtuele netwerken.Make this change on the custom DNS server in both virtual networks.

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {10.0.0.4;}; # The IP address of the DNS server in the other virtual network
    };
    

    Vervang de 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net waarde met de DNS-achtervoegsel van de andere virtueel netwerk.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of the other virtual network. Deze vermelding worden aanvragen voor de DNS-achtervoegsel van het externe netwerk gerouteerd naar de aangepaste DNS-server in dat netwerk.This entry routes requests for the DNS suffix of the remote network to the custom DNS in that network.

  3. Op de aangepaste DNS-servers in beide virtuele netwerken, gebruikt u de volgende tekst als de inhoud van de /etc/bind/named.conf.options bestand:On the custom DNS servers in both virtual networks, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    acl goodclients {
        10.1.0.0/16; # The IP address range of one virtual network
        10.0.0.0/16; # The IP address range of the other virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            forwarders {
            168.63.129.16;   # Azure recursive resolver         
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    

    Vervang de 10.0.0.0/16 en 10.1.0.0/16 waarden met IP-adresbereiken van uw virtuele netwerken.Replace the 10.0.0.0/16 and 10.1.0.0/16 values with the IP address ranges of your virtual networks. Deze vermelding kan resources in elk netwerk om aan te vragen van de DNS-servers.This entry allows resources in each network to make requests of the DNS servers.

    Alle aanvragen die niet voor de DNS-achtervoegsels van de virtuele netwerken (bijvoorbeeld microsoft.com) wordt verwerkt door de Azure recursieve naamomzetting.Any requests that are not for the DNS suffixes of the virtual networks (for example, microsoft.com) is handled by the Azure recursive resolver.

  4. Opnieuw opstarten binding voor het gebruik van de configuratie.To use the configuration, restart Bind. Bijvoorbeeld, sudo service bind9 restart op beide DNS-servers.For example, sudo service bind9 restart on both DNS servers.

Na het voltooien van deze stappen kunt u verbinding maken met resources in het virtuele netwerk met behulp van de volledig gekwalificeerde domeinnamen (FQDN).After completing these steps, you can connect to resources in the virtual network using fully qualified domain names (FQDN). U kunt nu HDInsight installeren in het virtuele netwerk.You can now install HDInsight into the virtual network.

Volgende stappenNext steps