Estender o Azure HDInsight usando uma Rede Virtual do AzureExtend Azure HDInsight using an Azure Virtual Network

Saiba como usar o HDInsight com uma Rede Virtual do Azure.Learn how to use HDInsight with an Azure Virtual Network. O uso de uma Rede Virtual do Azure permite os seguintes cenários:Using an Azure Virtual Network enables the following scenarios:

  • Conectar-se ao HDInsight diretamente em uma rede local.Connecting to HDInsight directly from an on-premises network.

  • Conectar o HDInsight a armazenamentos de dados em uma Rede virtual do Azure.Connecting HDInsight to data stores in an Azure Virtual network.

  • Acessando diretamente os serviços do Apache Hadoop que não estão disponíveis publicamente pela Internet.Directly accessing Apache Hadoop services that are not available publicly over the internet. Por exemplo,APIs Apache Kafka ou a API Java do Apache HBase.For example, Apache Kafka APIs or the Apache HBase Java API.

Importante

Depois de 28 de fevereiro de 2019, os recursos de rede (por exemplo, NICs, LBs, etc.) para novos clusters criados em uma rede virtual serão configurados no mesmo grupo de recursos de cluster HDInsight.After Feb 28, 2019, the networking resources (such as NICs, LBs, etc) for NEW clusters created in a VNET will be provisioned in the same HDInsight cluster resource group. Esses recursos foram provisionados anteriormente, no grupo de recursos de rede virtual.Previously, these resources were provisioned in the VNET resource group. Não há nenhuma alteração para os clusters em execução atuais e os clusters criados sem uma rede virtual.There is no change to the current running clusters and those clusters created without a VNET.

Pré-requisitos para exemplos de código e exemplosPrerequisites for code samples and examples

  • Noções básicas sobre a rede TCP/IP.An understanding of TCP/IP networking. Se você não estiver familiarizado com a rede TCP/IP, trabalhe junto com alguém que está antes de fazer modificações nas redes de produção.If you are not familiar with TCP/IP networking, you should partner with someone who is before making modifications to production networks.
  • Se estiver usando o PowerShell, será necessário o AZ módulo.If using PowerShell, you will need the AZ Module.
  • Se desejam usar a CLI do Azure e você ainda não tiver instalado-lo, consulte instalar a CLI do Azure.If wanting to use Azure CLI and you have not yet installed it, see Install the Azure CLI.

Importante

Se estiver buscando orientações passo a passo sobre como conectar o HDInsight à sua rede local usando uma Rede Virtual do Azure, consulte o documento Conectar o HDInsight à sua rede local.If you are looking for step by step guidance on connecting HDInsight to your on-premises network using an Azure Virtual Network, see the Connect HDInsight to your on-premises network document.

PlanejamentoPlanning

Estas são as perguntas que você deve responder ao planejar a instalação do HDInsight em uma rede virtual:The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Você precisa instalar o HDInsight em uma rede virtual existente?Do you need to install HDInsight into an existing virtual network? Ou você está criando uma nova rede?Or are you creating a new network?

    Se você estiver usando uma rede virtual existente, talvez precise modificar a configuração de rede antes de instalar o HDInsight.If you are using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. Para obter mais informações, consulte a seção Adicionar o HDInsight a uma rede virtual existente.For more information, see the add HDInsight to an existing virtual network section.

  • Você deseja conectar a rede virtual que contém o HDInsight a outra rede virtual ou à rede local?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Para trabalhar com recursos em redes com facilidade, talvez você precise criar um DNS personalizado e configurar o encaminhamento de DNS.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. Para obter mais informações, consulte a seção Conectando várias redes.For more information, see the connecting multiple networks section.

  • Você deseja restringir/redirecionar o tráfego de entrada ou de saída para o HDInsight?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    O HDInsight deve ter comunicação irrestrita com endereços IP específicos no data center do Azure.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Também há diversas portas que devem receber permissão por meio de firewalls para a comunicação do cliente.There are also several ports that must be allowed through firewalls for client communication. Para obter mais informações, consulte a seção Controlando o tráfego de rede.For more information, see the controlling network traffic section.

Adicionar o HDInsight uma rede virtual existenteAdd HDInsight to an existing virtual network

Use as etapas descritas nesta seção para descobrir como adicionar um novo HDInsight a uma Rede Virtual do Azure existente.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Observação

Não é possível adicionar um cluster HDInsight existente a uma rede virtual.You cannot add an existing HDInsight cluster into a virtual network.

  1. Você está usando um modelo de implantação clássico ou do Resource Manager para a rede virtual?Are you using a classic or Resource Manager deployment model for the virtual network?

    O HDInsight 3.4 e posterior exige uma rede virtual do Resource Manager.HDInsight 3.4 and greater requires a Resource Manager virtual network. Versões anteriores do HDInsight exigiam uma rede virtual clássica.Earlier versions of HDInsight required a classic virtual network.

    Se a rede existente for uma rede virtual clássica, é necessário criar uma rede virtual do Resource Manager e, em seguida, conectar as duas.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Conectando VNets clássicas a novas VNets.Connecting classic VNets to new VNets.

    Depois de ingressar, o HDInsight instalado na rede do Resource Manager pode interagir com os recursos da rede clássica.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Você usa o túnel forçado?Do you use forced tunneling? O túnel forçado é uma configuração de sub-rede que força o tráfego da Internet de saída para um dispositivo para inspeção e log.Forced tunneling is a subnet setting that forces outbound Internet traffic to a device for inspection and logging. O HDInsight não dá suporte ao túnel forçado.HDInsight does not support forced tunneling. Remova o encapsulamento forçado antes de implantar o HDInsight em uma sub-rede existente ou crie uma nova sub-rede sem tunelamento forçado para o HDInsight.Either remove forced tunneling before deploying HDInsight into an existing subnet, or create a new subnet with no forced tunneling for HDInsight.

  3. Você usa grupos de segurança de rede, rotas definidas pelo usuário ou Soluções de Virtualização de Rede para restringir o tráfego para dentro ou fora da rede virtual?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    Como um serviço gerenciado, o HDInsight exige acesso irrestrito a vários endereços IP no data center do Azure.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Para permitir a comunicação com esses endereços IP, atualize os grupos de segurança de rede ou as rotas definidas pelo usuário existentes.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    O HDInsight hospeda vários serviços, que usam uma variedade de portas.HDInsight hosts multiple services, which use a variety of ports. Não bloqueie o tráfego para essas portas.Do not block traffic to these ports. Para obter uma lista de portas para permissão por meio de firewalls de solução de virtualização, confira a seção Segurança.For a list of ports to allow through virtual appliance firewalls, see the Security section.

    Para encontrar a configuração de segurança existente, use os seguintes comandos do Azure PowerShell ou da CLI do Azure:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • Grupos de segurança de redeNetwork security groups

      Substitua RESOURCEGROUP com o nome do grupo de recursos que contém a rede virtual e, em seguida, digite o comando:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzNetworkSecurityGroup -ResourceGroupName  "RESOURCEGROUP"
      
      az network nsg list --resource-group RESOURCEGROUP
      

      Para obter mais informações, consulte o documento Solução de problemas dos grupos de segurança de rede.For more information, see the Troubleshoot network security groups document.

      Importante

      As regras do grupo de segurança de rede são aplicadas em ordem, com base na prioridade da regra.Network security group rules are applied in order based on rule priority. A primeira regra que corresponde ao padrão de tráfego é aplicada e nenhuma outra é aplicada ao tráfego.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. Ordene as regras da mais permissiva para a menos permissiva.Order rules from most permissive to least permissive. Para obter mais informações, consulte o documento Filtrar o tráfego de rede com grupos de segurança de rede.For more information, see the Filter network traffic with network security groups document.

    • Rotas definidas pelo usuárioUser-defined routes

      Substitua RESOURCEGROUP com o nome do grupo de recursos que contém a rede virtual e, em seguida, digite o comando:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzRouteTable -ResourceGroupName "RESOURCEGROUP"
      
      az network route-table list --resource-group RESOURCEGROUP
      

      Para obter mais informações, consulte o documento Solução de problemas de rotas.For more information, see the Troubleshoot routes document.

  4. Crie um cluster HDInsight e selecione a Rede Virtual do Azure durante a configuração.Create an HDInsight cluster and select the Azure Virtual Network during configuration. Use as etapas nos documentos a seguir para entender o processo de criação de cluster:Use the steps in the following documents to understand the cluster creation process:

    Importante

    Adicionar HDInsight a uma rede virtual é uma etapa de configuração opcional.Adding HDInsight to a virtual network is an optional configuration step. Verifique se você selecionou a rede virtual ao configurar o cluster.Be sure to select the virtual network when configuring the cluster.

Conectando várias redesConnecting multiple networks

O maior desafio em uma configuração de várias redes é a resolução de nomes entre as redes.The biggest challenge with a multi-network configuration is name resolution between the networks.

O Azure fornece a resolução de nomes para os serviços do Azure instalados em uma rede virtual do Azure.Azure provides name resolution for Azure services that are installed in a virtual network. Essa resolução de nomes interna permite que o HDInsight se conecte aos seguintes recursos usando um FQDN (nome de domínio totalmente qualificado):This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • Qualquer recurso que está disponível na Internet.Any resource that is available on the internet. Por exemplo, microsoft.com, windowsupdate.com.For example, microsoft.com, windowsupdate.com.

  • Qualquer recurso que está na mesma Rede Virtual do Azure, usando o nome DNS interno do recurso.Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Por exemplo, ao usar a resolução de nomes padrão, estes são nomes DNS internos de exemplo atribuídos aos nós de trabalho do HDInsight:For example, when using the default name resolution, the following are example internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.netwn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Esses dois nós podem se comunicar diretamente um com o outro e com outros nós no HDInsight, usando nomes DNS internos.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

A resolução de nomes padrão não permite que o HDInsight resolva os nomes de recursos em redes ingressadas na rede virtual.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. Por exemplo, é comum ingressar a rede local na rede virtual.For example, it is common to join your on-premises network to the virtual network. Com apenas a resolução de nomes padrão, o HDInsight não pode acessar recursos na rede local por nome.With only the default name resolution, HDInsight cannot access resources in the on-premises network by name. O oposto também é verdadeiro: os recursos na rede local não podem acessar recursos na rede virtual por nome.The opposite is also true, resources in your on-premises network cannot access resources in the virtual network by name.

Aviso

É necessário criar o servidor DNS personalizado e configurar a rede virtual para usá-lo antes de criar o cluster HDInsight.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

Para permitir a resolução de nomes entre a rede virtual e os recursos em redes ingressadas, execute as seguintes ações:To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Crie um servidor DNS personalizado na Rede Virtual do Azure na qual você pretende instalar o HDInsight.Create a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. Configure a rede virtual para usar o servidor DNS personalizado.Configure the virtual network to use the custom DNS server.

  3. Encontre o sufixo DNS atribuído pelo Azure à rede virtual.Find the Azure assigned DNS suffix for your virtual network. Esse valor é semelhante a 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. Para saber mais sobre como encontrar o sufixo DNS, veja a seção Exemplo: DNS personalizado.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Configure o encaminhamento entre os servidores DNS.Configure forwarding between the DNS servers. A configuração depende do tipo de rede remota.The configuration depends on the type of remote network.

    • Se a rede remota for uma rede local, configure o DNS da seguinte maneira:If the remote network is an on-premises network, configure DNS as follows:

      • DNS personalizado (na rede virtual):Custom DNS (in the virtual network):

        • Encaminhe as solicitações de sufixo DNS da rede virtual para o resolvedor recursivo do Azure (168.63.129.16).Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). O Azure administra as solicitações de recursos na rede virtualAzure handles requests for resources in the virtual network

        • Encaminhe todas as outras solicitações para o servidor DNS local.Forward all other requests to the on-premises DNS server. O DNS local manipula todas as outras solicitações de resolução de nomes, até mesmo solicitações de recursos da Internet, como Microsoft.com.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • DNS local: encaminhe solicitações do sufixo DNS da rede virtual para o servidor DNS personalizado.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. Em seguida, o servidor DNS personalizado encaminha-as para o resolvedor recursivo do Azure.The custom DNS server then forwards to the Azure recursive resolver.

        Essa configuração encaminha as solicitações de nomes de domínio totalmente qualificados que contêm o sufixo DNS da rede virtual para o servidor DNS personalizado.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Todas as outras solicitações (até mesmo para endereços da Internet pública) são manipuladas pelo servidor DNS local.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Se a rede remota for outra Rede Virtual do Azure, configure o DNS da seguinte maneira:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • DNS personalizado (em cada rede virtual):Custom DNS (in each virtual network):

        • As solicitações do sufixo DNS das redes virtuais são encaminhadas para os servidores DNS personalizados.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. O DNS em cada rede virtual é responsável por resolver recursos em sua rede.The DNS in each virtual network is responsible for resolving resources within its network.

        • Encaminhe todas as outras solicitações para o resolvedor recursivo do Azure.Forward all other requests to the Azure recursive resolver. O resolvedor recursivo é responsável por resolver recursos locais e da Internet.The recursive resolver is responsible for resolving local and internet resources.

        O servidor DNS de cada rede encaminha solicitações para a outra, com base em sufixo DNS.The DNS server for each network forwards requests to the other, based on DNS suffix. Outras solicitações são resolvidas com o resolvedor recursivo do Azure.Other requests are resolved using the Azure recursive resolver.

      Para obter um exemplo de cada configuração, veja a seção Exemplo: DNS personalizado.For an example of each configuration, see the Example: Custom DNS section.

Para obter mais informações, consulte o documento Resolução de nomes para VMs e instâncias de função.For more information, see the Name Resolution for VMs and Role Instances document.

Conectar-se diretamente aos serviços do Apache HadoopDirectly connect to Apache Hadoop services

Você pode se conectar ao cluster em https://CLUSTERNAME.azurehdinsight.net.You can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. Esse endereço usa um IP público, que pode não estar acessível se você tiver usado os NSGs para restringir o tráfego de entrada da Internet.This address uses a public IP, which may not be reachable if you have used NSGs to restrict incoming traffic from the internet. Além disso, quando você implanta o cluster em uma rede virtual você pode acessá-lo usando o ponto de extremidade privado https://CLUSTERNAME-int.azurehdinsight.net.Additionally, when you deploy the cluster in a VNet you can access it using the private endpoint https://CLUSTERNAME-int.azurehdinsight.net. Esse ponto de extremidade é resolvido para um endereço IP privado dentro da VNet para acesso ao cluster.This endpoint resolves to a private IP inside the VNet for cluster access.

Para se conectar ao Apache Ambari e outras páginas da Web por meio da rede virtual, use as seguintes etapas:To connect to Apache Ambari and other web pages through the virtual network, use the following steps:

  1. Para descobrir os FQDNs (nomes de domínio totalmente qualificados) internos dos nós do cluster HDInsight, use um dos seguintes métodos:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    Substitua RESOURCEGROUP com o nome do grupo de recursos que contém a rede virtual e, em seguida, digite o comando:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $clusterNICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP" | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group RESOURCEGROUP --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    Na lista de nós retornados, encontre o FQDN dos nós de cabeçalho e use-os para se conectar ao Ambari e a outros serviços Web.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Por exemplo, use http://<headnode-fqdn>:8080 para acessar o Ambari.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Importante

    Alguns serviços hospedados em nós de cabeçalho ficam ativos apenas em um nó por vez.Some services hosted on the head nodes are only active on one node at a time. Se você tentar acessar um serviço em um nó de cabeçalho e ele retornar um erro 404, mude para o outro nó de cabeçalho.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Para determinar o nó e a porta nos quais um serviço está disponível, consulte o documento Portas usadas pelos serviços do Hadoop no HDInsight.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Controlando o tráfego de redeControlling network traffic

O tráfego de rede em Redes Virtuais do Azure pode ser controlado com os seguintes métodos:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • Os NSGs (grupos de segurança de rede) permitem filtrar o tráfego de entrada e de saída para a rede.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. Para obter mais informações, consulte o documento Filtrar o tráfego de rede com grupos de segurança de rede.For more information, see the Filter network traffic with network security groups document.

    Aviso

    O HDInsight não dá suporte à restrição do tráfego de saída.HDInsight does not support restricting outbound traffic. Todo o tráfego de saída deve ser permitido.All outbound traffic should be allowed.

  • As UDRs (rotas definidas pelo usuário) definem como o tráfego flui entre os recursos na rede.User-defined routes (UDR) define how traffic flows between resources in the network. Para obter mais informações, consulte o documento Rotas definidas pelo usuário e encaminhamento IP.For more information, see the User-defined routes and IP forwarding document.

  • As soluções de virtualização de rede replicam a funcionalidade de dispositivos, como firewalls e roteadores.Network virtual appliances replicate the functionality of devices such as firewalls and routers. Para obter mais informações, consulte o documento Dispositivos de rede.For more information, see the Network Appliances document.

Como um serviço gerenciado, o HDInsight exige acesso irrestrito para a integridade do HDInsight e gerenciamento de serviços para tráfego de entrada e saída da rede virtual.As a managed service, HDInsight requires unrestricted access to the HDInsight health and management services both for incoming and outgoing traffic from the VNET. Ao usar NSGs e UDRs, você deve garantir que esses serviços ainda possam se comunicar com o cluster HDInsight.When using NSGs and UDRs, you must ensure that these services can still communicate with HDInsight cluster.

HDInsight com grupos de segurança de rede e rotas definidas pelo usuárioHDInsight with network security groups and user-defined routes

Se você pretende usar grupos de segurança de rede ou rotas definidas pelo usuário para controlar o tráfego de rede, execute as seguintes ações antes de instalar o HDInsight:If you plan on using network security groups or user-defined routes to control network traffic, perform the following actions before installing HDInsight:

  1. Identifique a região do Azure que você pretende usar para o HDInsight.Identify the Azure region that you plan to use for HDInsight.

  2. Identifique os endereços IP necessários para o HDInsight.Identify the IP addresses required by HDInsight. Para obter mais informações, consulte a seção Endereços IP necessários para o HDInsight.For more information, see the IP Addresses required by HDInsight section.

  3. Crie ou modifique os grupos de segurança de rede ou as rotas definidas pelo usuário da sub-rede na qual você pretende instalar o HDInsight.Create or modify the network security groups or user-defined routes for the subnet that you plan to install HDInsight into.

    • Grupos de segurança de rede: permita o tráfego de entrada na porta 443 dos endereços IP.Network security groups: allow inbound traffic on port 443 from the IP addresses. Isso garantirá que os serviços de gerenciamento de HDI podem acessar o cluster de rede virtual externa.This will ensure that HDI management services can reach the cluster from outside VNET.
    • Rotas definidas pelo usuário: se você planeja usar UDRs, crie uma rota para cada endereço IP e defina o tipo de salto seguinte para Internet.User-defined routes: If you plan to use UDRs, create a route for each IP address and set the Next hop type to Internet. Você também deve permitir qualquer outro tráfego de saída da VNET sem restrição.You should also allow any other outbound traffic from the VNET with no restriction. Por exemplo, você pode rotear todo o tráfego para sua rede ou firewall dispositivo virtual do Azure (hospedado no Azure) para fins de monitoramento, mas o tráfego de saída não deve ser bloqueado.For example, you can route all other traffic to your Azure firewall or network virtual appliance (hosted in Azure) for monitoring purposes but the outgoing traffic should not be blocked.

Para obter mais informações sobre grupos de segurança de rede ou rotas definidas pelo usuário, consulte a seguinte documentação:For more information on network security groups or user-defined routes, see the following documentation:

Túnel forçado para on-premiseForced tunneling to on-premise

O túnel forçado é uma configuração de roteamento definido pelo usuário em que todo o tráfego de uma sub-rede é forçado para uma rede ou localização específica, como a rede local.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight faz não suporte ao túnel à força para as redes locais.HDInsight does not support forced tunneling to the on-premises networks. Se você estiver usando o Firewall do Azure ou um dispositivo de rede virtual hospedado no Azure, você pode usar UDRs para rotear o tráfego para ele para fins de monitoramento e permitir que todo o tráfego de saída.If you are using Azure Firewall or a network virtual appliance hosted in Azure, you can use UDRs to route the traffic to it for monitoring purposes and allow all outgoing traffic.

Endereços IP obrigatóriosRequired IP addresses

Importante

Os serviços de integridade e gerenciamento do Azure devem ser capazes de se comunicar com o HDInsight.The Azure health and management services must be able to communicate with HDInsight. Se você usar grupos de segurança de rede ou rotas definidas pelo usuário, permita o tráfego de endereços IP para que esses serviços acessem o HDInsight.If you use network security groups or user-defined routes, allow traffic from the IP addresses for these services to reach HDInsight.

Se você não usar grupos de segurança de rede ou rotas definidas pelo usuário para controlar o tráfego, ignore esta seção.If you do not use network security groups or user-defined routes to control traffic, you can ignore this section.

Se você usar grupos de segurança de rede, deverá permitir o tráfego dos serviços de integridade e gerenciamento do Azure para acessar os clusters do HDInsight na porta 443.If you use network security groups, you must allow traffic from the Azure health and management services to reach HDInsight clusters on port 443. Você também deve permitir o tráfego entre as VMs dentro da sub-rede.You must also allow traffic between VMs inside the subnet. Use as seguintes etapas para encontrar os endereços IP que devem ser permitidos:Use the following steps to find the IP addresses that must be allowed:

  1. Você sempre deve permitir o tráfego dos seguintes endereços IP:You must always allow traffic from the following IP addresses:

    Endereço IP de origemSource IP address DestinoDestination DirectionDirection
    168.61.49.99168.61.49.99 *:443*:443 EntradaInbound
    23.99.5.23923.99.5.239 *:443*:443 EntradaInbound
    168.61.48.131168.61.48.131 *:443*:443 EntradaInbound
    138.91.141.162138.91.141.162 *:443*:443 EntradaInbound
  2. Se o cluster HDInsight estiver em uma das seguintes regiões, você deverá permitir o tráfego dos endereços IP listados para a região:If your HDInsight cluster is in one of the following regions, then you must allow traffic from the IP addresses listed for the region:

    Importante

    Se a região do Azure que você está usando não estiver listada, use apenas os quatro endereços IP da etapa 1.If the Azure region you are using is not listed, then only use the four IP addresses from step 1.

    País/RegiãoCountry RegiãoRegion Endereços IP de origem permitidosAllowed Source IP addresses Destino permitidoAllowed Destination DirectionDirection
    ÁsiaAsia Ásia OrientalEast Asia 23.102.235.12223.102.235.122
    52.175.38.13452.175.38.134
    *:443*:443 EntradaInbound
      Sudeste AsiáticoSoutheast Asia 13.76.245.16013.76.245.160
    13.76.136.24913.76.136.249
    *:443*:443 EntradaInbound
    AustráliaAustralia Leste da AustráliaAustralia East 104.210.84.115104.210.84.115
    13.75.152.19513.75.152.195
    *:443*:443 EntradaInbound
      Sudeste da AustráliaAustralia Southeast 13.77.2.5613.77.2.56
    13.77.2.9413.77.2.94
    *:443*:443 EntradaInbound
    BrasilBrazil Sul do BrasilBrazil South 191.235.84.104191.235.84.104
    191.235.87.113191.235.87.113
    *:443*:443 EntradaInbound
    CanadáCanada Leste do CanadáCanada East 52.229.127.9652.229.127.96
    52.229.123.17252.229.123.172
    *:443*:443 EntradaInbound
      Canadá CentralCanada Central 52.228.37.6652.228.37.66
    52.228.45.22252.228.45.222
    *: 443*: 443 EntradaInbound
    ChinaChina Norte da ChinaChina North 42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219

    42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157
    *:443*:443 EntradaInbound
      Leste da ChinaChina East 42.159.198.17842.159.198.178
    42.159.234.15742.159.234.157

    42.159.96.17042.159.96.170
    139.217.2.219139.217.2.219
    *:443*:443 EntradaInbound
      Norte da China 2China North 2 40.73.37.14140.73.37.141
    40.73.38.17240.73.38.172
    *:443*:443 EntradaInbound
      Leste da China 2China East 2 139.217.227.106139.217.227.106
    139.217.228.187139.217.228.187
    *:443*:443 EntradaInbound
    EuropaEurope Norte da EuropaNorth Europe 52.164.210.9652.164.210.96
    13.74.153.13213.74.153.132
    *:443*:443 EntradaInbound
      Europa OcidentalWest Europe 52.166.243.9052.166.243.90
    52.174.36.24452.174.36.244
    *:443*:443 EntradaInbound
    FrançaFrance França CentralFrance Central 20.188.39.6420.188.39.64
    40.89.157.13540.89.157.135
    *:443*:443 EntradaInbound
    AlemanhaGermany Alemanha CentralGermany Central 51.4.146.6851.4.146.68
    51.4.146.8051.4.146.80
    *:443*:443 EntradaInbound
      Nordeste da AlemanhaGermany Northeast 51.5.150.13251.5.150.132
    51.5.144.10151.5.144.101
    *:443*:443 EntradaInbound
    ÍndiaIndia Índia CentralCentral India 52.172.153.20952.172.153.209
    52.172.152.4952.172.152.49
    *:443*:443 EntradaInbound
      Sul da ÍndiaSouth India 104.211.223.67104.211.223.67
    104.211.216.210104.211.216.210
    *:443*:443 EntradaInbound
    JapãoJapan Leste do JapãoJapan East 13.78.125.9013.78.125.90
    13.78.89.6013.78.89.60
    *:443*:443 EntradaInbound
      Oeste do JapãoJapan West 40.74.125.6940.74.125.69
    138.91.29.150138.91.29.150
    *:443*:443 EntradaInbound
    Coreia do SulKorea Coreia CentralKorea Central 52.231.39.14252.231.39.142
    52.231.36.20952.231.36.209
    *:433*:433 EntradaInbound
      Sul da CoreiaKorea South 52.231.203.1652.231.203.16
    52.231.205.21452.231.205.214
    *:443*:443 EntradaInbound
    Reino UnidoUnited Kingdom Oeste do Reino UnidoUK West 51.141.13.11051.141.13.110
    51.141.7.2051.141.7.20
    *:443*:443 EntradaInbound
      Sul do Reino UnidoUK South 51.140.47.3951.140.47.39
    51.140.52.1651.140.52.16
    *:443*:443 EntradaInbound
    Estados UnidosUnited States Centro dos EUACentral US 13.67.223.21513.67.223.215
    40.86.83.25340.86.83.253
    *:443*:443 EntradaInbound
      Leste dos EUAEast US 13.82.225.23313.82.225.233
    40.71.175.9940.71.175.99
    *:443*:443 EntradaInbound
      Centro-Norte dos EUANorth Central US 157.56.8.38157.56.8.38
    157.55.213.99157.55.213.99
    *:443*:443 EntradaInbound
      Centro-Oeste dos EUAWest Central US 52.161.23.1552.161.23.15
    52.161.10.16752.161.10.167
    *:443*:443 EntradaInbound
      Oeste dos EUAWest US 13.64.254.9813.64.254.98
    23.101.196.1923.101.196.19
    *:443*:443 EntradaInbound
      Oeste dos EUA 2West US 2 52.175.211.21052.175.211.210
    52.175.222.22252.175.222.222
    *:443*:443 EntradaInbound

    Para obter informações sobre os endereços IP a serem usados para o Azure Governamental, consulte o documento Inteligência + Análise do Azure Governamental.For information on the IP addresses to use for Azure Government, see the Azure Government Intelligence + Analytics document.

  3. Você também deve permitir o acesso de 168.63.129.16.You must also allow access from 168.63.129.16. Esse endereço é o resolvedor recursivo do Azure.This address is Azure's recursive resolver. Para obter mais informações, consulte o documento Resolução de nomes para VMs e instâncias de função.For more information, see the Name resolution for VMs and Role instances document.

Para obter mais informações, consulte a seção Controlando o tráfego de rede.For more information, see the Controlling network traffic section.

Se você estiver usando UDRs (rotas definidas pelo usuário), especifique uma rota e permita o tráfego de saída da VNET para o IPs acima com o próximo salto definido como "Internet".If you are using user-defined routes(UDRs), you should specify a route and allow outbound traffic from the VNET to the above IPs with the next hop set to "Internet".

Portas obrigatóriasRequired ports

Se você pretende usar um firewall e acessar o cluster de fora em determinadas portas, será preciso permitir o tráfego nas portas necessárias para o seu cenário.If you plan on using a firewall and access the cluster from outside on certain ports, you might need to allow traffic on those ports needed for your scenario. Por padrão, nenhuma lista de permissões especial de portas é necessária desde que o tráfego de gerenciamento do Azure, explicado na seção anterior, tenha permissão para acessar o cluster na porta 443.By default, no special whitelisting of ports is needed as long as the azure management traffic explained in the previous section is allowed to reach cluster on port 443.

Para obter uma lista de portas para serviços específicos, consulte o documento Portas usadas pelos serviços do Apache Hadoop no HDInsight.For a list of ports for specific services, see the Ports used by Apache Hadoop services on HDInsight document.

Para obter mais informações sobre as regras de firewall para soluções de virtualização, consulte o documento Cenário de solução de virtualização.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

Exemplo: grupos de segurança de rede com o HDInsightExample: network security groups with HDInsight

Os exemplos desta seção demonstram como criar regras do grupo de segurança de rede que permitem que o HDInsight se comunique com os serviços de gerenciamento do Azure.The examples in this section demonstrate how to create network security group rules that allow HDInsight to communicate with the Azure management services. Antes de usar os exemplos, ajuste os endereços IP para que eles correspondam àqueles da região do Azure que estão sendo usados.Before using the examples, adjust the IP addresses to match the ones for the Azure region you are using. Encontre essas informações na seção HDInsight com grupos de segurança de rede e rotas definidas pelo usuário.You can find this information in the HDInsight with network security groups and user-defined routes section.

Modelo do Azure Resource ManagerAzure Resource Management template

O modelo de Gerenciamento de Recursos a seguir cria uma rede virtual que restringe o tráfego de entrada, mas permite o tráfego dos endereços IP necessários para o HDInsight.The following Resource Management template creates a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight. Esse modelo também cria um cluster HDInsight na rede virtual.This template also creates an HDInsight cluster in the virtual network.

Importante

Altere os endereços IP usados neste exemplo para que eles correspondam à região do Azure que você está usando.Change the IP addresses used in this example to match the Azure region you are using. Encontre essas informações na seção HDInsight com grupos de segurança de rede e rotas definidas pelo usuário.You can find this information in the HDInsight with network security groups and user-defined routes section.

Azure PowerShellAzure PowerShell

Use o script do PowerShell a seguir para criar uma rede virtual que restrinja o tráfego de entrada e permita o tráfego dos endereços IP para a região Europa Setentrional.Use the following PowerShell script to create a virtual network that restricts inbound traffic and allows traffic from the IP addresses for the North Europe region.

Importante

Altere os endereços IP usados neste exemplo para que eles correspondam à região do Azure que você está usando.Change the IP addresses used in this example to match the Azure region you are using. Encontre essas informações na seção HDInsight com grupos de segurança de rede e rotas definidas pelo usuário.You can find this information in the HDInsight with network security groups and user-defined routes section.

$vnetName = "Replace with your virtual network name"
$resourceGroupName = "Replace with the resource group the virtual network is in"
$subnetName = "Replace with the name of the subnet that you plan to use for HDInsight"
# Get the Virtual Network object
$vnet = Get-AzVirtualNetwork `
    -Name $vnetName `
    -ResourceGroupName $resourceGroupName
# Get the region the Virtual network is in.
$location = $vnet.Location
# Get the subnet object
$subnet = $vnet.Subnets | Where-Object Name -eq $subnetName
# Create a Network Security Group.
# And add exemptions for the HDInsight health and management services.
$nsg = New-AzNetworkSecurityGroup `
    -Name "hdisecure" `
    -ResourceGroupName $resourceGroupName `
    -Location $location `
    | Add-AzNetworkSecurityRuleConfig `
        -name "hdirule1" `
        -Description "HDI health and management address 52.164.210.96" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "52.164.210.96" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 300 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule2" `
        -Description "HDI health and management 13.74.153.132" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "13.74.153.132" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 301 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule3" `
        -Description "HDI health and management 168.61.49.99" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.49.99" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 302 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule4" `
        -Description "HDI health and management 23.99.5.239" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "23.99.5.239" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 303 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule5" `
        -Description "HDI health and management 168.61.48.131" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "168.61.48.131" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 304 `
        -Direction Inbound `
    | Add-AzNetworkSecurityRuleConfig `
        -Name "hdirule6" `
        -Description "HDI health and management 138.91.141.162" `
        -Protocol "*" `
        -SourcePortRange "*" `
        -DestinationPortRange "443" `
        -SourceAddressPrefix "138.91.141.162" `
        -DestinationAddressPrefix "VirtualNetwork" `
        -Access Allow `
        -Priority 305 `
        -Direction Inbound `
# Set the changes to the security group
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
# Apply the NSG to the subnet
Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $vnet `
    -Name $subnetName `
    -AddressPrefix $subnet.AddressPrefix `
    -NetworkSecurityGroup $nsg
$vnet | Set-AzVirtualNetwork

Importante

Este exemplo demonstra como adicionar regras para permitir o tráfego de entrada nos endereços IP necessários.This example demonstrates how to add rules to allow inbound traffic on the required IP addresses. Ele não contém uma regra para restringir o acesso de entrada de outras fontes.It does not contain a rule to restrict inbound access from other sources.

O exemplo a seguir demonstra como habilitar o acesso SSH por meio da Internet:The following example demonstrates how to enable SSH access from the Internet:

Add-AzNetworkSecurityRuleConfig -Name "SSH" -Description "SSH" -Protocol "*" -SourcePortRange "*" -DestinationPortRange "22" -SourceAddressPrefix "*" -DestinationAddressPrefix "VirtualNetwork" -Access Allow -Priority 306 -Direction Inbound

CLI do AzureAzure CLI

Use as etapas a seguir para criar uma rede virtual que restringe o tráfego de entrada, mas permite o tráfego dos endereços IP necessários para o HDInsight.Use the following steps to create a virtual network that restricts inbound traffic, but allows traffic from the IP addresses required by HDInsight.

  1. Use o seguinte comando para criar um novo grupo de segurança de rede chamado hdisecure.Use the following command to create a new network security group named hdisecure. Substitua RESOURCEGROUP com o grupo de recursos que contém a rede Virtual do Azure.Replace RESOURCEGROUP with the resource group that contains the Azure Virtual Network. Substitua LOCATION com o local (região) que o grupo foi criado.Replace LOCATION with the location (region) that the group was created in.

    az network nsg create -g RESOURCEGROUP -n hdisecure -l LOCATION
    

    Após a criação do grupo, você receberá informações sobre o novo grupo.Once the group has been created, you receive information on the new group.

  2. Use o seguinte para adicionar regras ao novo grupo de segurança de rede que permitem a comunicação de entrada na porta 443 por meio do serviço de integridade e gerenciamento do Azure HDInsight.Use the following to add rules to the new network security group that allow inbound communication on port 443 from the Azure HDInsight health and management service. Substitua RESOURCEGROUP com o nome do grupo de recursos que contém a rede Virtual do Azure.Replace RESOURCEGROUP with the name of the resource group that contains the Azure Virtual Network.

    Importante

    Altere os endereços IP usados neste exemplo para que eles correspondam à região do Azure que você está usando.Change the IP addresses used in this example to match the Azure region you are using. Encontre essas informações na seção HDInsight com grupos de segurança de rede e rotas definidas pelo usuário.You can find this information in the HDInsight with network security groups and user-defined routes section.

    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule1 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "52.164.210.96" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 300 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule2 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "13.74.153.132" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 301 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule3 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.49.99" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 302 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule4 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "23.99.5.239" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 303 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "168.61.48.131" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 304 --direction "Inbound"
    az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule6 --protocol "*" --source-port-range "*" --destination-port-range "443" --source-address-prefix "138.91.141.162" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 305 --direction "Inbound"
    
  3. Para recuperar o identificador exclusivo desse grupo de segurança de rede, use o seguinte comando:To retrieve the unique identifier for this network security group, use the following command:

    az network nsg show -g RESOURCEGROUP -n hdisecure --query 'id'
    

    Esse comando retorna um valor semelhante ao texto a seguir:This command returns a value similar to the following text:

     "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Use aspas duplas em torno de id no comando se você não obtiver os resultados esperados.Use double-quotes around id in the command if you don't get the expected results.

  4. Use o comando a seguir para aplicar o grupo de segurança de rede a uma sub-rede.Use the following command to apply the network security group to a subnet. Substitua os GUID e RESOURCEGROUP valores por aqueles retornados da etapa anterior.Replace the GUID and RESOURCEGROUP values with the ones returned from the previous step. Substitua VNETNAME e SUBNETNAME com o nome de rede virtual e o nome da sub-rede que você deseja criar.Replace VNETNAME and SUBNETNAME with the virtual network name and subnet name that you want to create.

    az network vnet subnet update -g RESOURCEGROUP --vnet-name VNETNAME --name SUBNETNAME --set networkSecurityGroup.id="/subscriptions/GUID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Network/networkSecurityGroups/hdisecure"
    

    Depois que esse comando for concluído, instale o HDInsight na Rede Virtual.Once this command completes, you can install HDInsight into the Virtual Network.

Importante

Essas etapas apenas abrem o acesso ao serviço de integridade e gerenciamento do HDInsight na nuvem do Azure.These steps only open access to the HDInsight health and management service on the Azure cloud. Qualquer outro acesso ao cluster HDInsight de fora da Rede Virtual permanecerá bloqueado.Any other access to the HDInsight cluster from outside the Virtual Network is blocked. Para habilitar o acesso de fora da rede virtual, você deve acrescentar regras de Grupo de Segurança de Rede adicionais.To enable access from outside the virtual network, you must add additional Network Security Group rules.

O exemplo a seguir demonstra como habilitar o acesso SSH por meio da Internet:The following example demonstrates how to enable SSH access from the Internet:

az network nsg rule create -g RESOURCEGROUP --nsg-name hdisecure -n hdirule5 --protocol "*" --source-port-range "*" --destination-port-range "22" --source-address-prefix "*" --destination-address-prefix "VirtualNetwork" --access "Allow" --priority 306 --direction "Inbound"

Exemplo: Configuração de DNSExample: DNS configuration

Resolução de nomes entre uma rede virtual e uma rede local conectadaName resolution between a virtual network and a connected on-premises network

Este exemplo faz as seguintes suposições:This example makes the following assumptions:

  • Você tem uma Rede Virtual do Azure conectada a uma rede local usando um gateway de VPN.You have an Azure Virtual Network that is connected to an on-premises network using a VPN gateway.

  • O servidor DNS personalizado na rede virtual executa o Linux ou Unix como o sistema operacional.The custom DNS server in the virtual network is running Linux or Unix as the operating system.

  • O Bind está instalado no servidor DNS personalizado.Bind is installed on the custom DNS server.

No servidor DNS personalizado da rede virtual:On the custom DNS server in the virtual network:

  1. Use o Azure PowerShell ou a CLI do Azure para encontrar o sufixo DNS da rede virtual:Use either Azure PowerShell or Azure CLI to find the DNS suffix of the virtual network:

    Substitua RESOURCEGROUP com o nome do grupo de recursos que contém a rede virtual e, em seguida, digite o comando:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. No servidor DNS personalizado da rede virtual, use o seguinte texto como o conteúdo do arquivo /etc/bind/named.conf.local:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.local file:

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {168.63.129.16;}; # Azure recursive resolver
    };
    

    Substitua o valor 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net pelo sufixo DNS da rede virtual.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of your virtual network.

    Essa configuração encaminha todas as solicitações DNS do sufixo DNS da rede virtual para o resolvedor recursivo do Azure.This configuration routes all DNS requests for the DNS suffix of the virtual network to the Azure recursive resolver.

  3. No servidor DNS personalizado da rede virtual, use o seguinte texto como o conteúdo do arquivo /etc/bind/named.conf.options:On the custom DNS server for the virtual network, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    // TODO: Add the IP range of the joined network to this list
    acl goodclients {
        10.0.0.0/16; # IP address range of the virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            # All other requests are sent to the following
            forwarders {
                192.168.0.1; # Replace with the IP address of your on-premises DNS server
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    
    • Substitua o valor 10.0.0.0/16 pelo intervalo de endereços IP da rede virtual.Replace the 10.0.0.0/16 value with the IP address range of your virtual network. Essa entrada permite endereços de solicitações de resolução de nomes dentro desse intervalo.This entry allows name resolution requests addresses within this range.

    • Adicione o intervalo de endereços IP da rede local à seção acl goodclients { ... }.Add the IP address range of the on-premises network to the acl goodclients { ... } section. A entrada permite solicitações de resolução de nomes de recursos na rede local.entry allows name resolution requests from resources in the on-premises network.

    • Substitua o valor 192.168.0.1 pelo endereço IP do servidor DNS local.Replace the value 192.168.0.1 with the IP address of your on-premises DNS server. Essa entrada encaminha todas as outras solicitações DNS para o servidor DNS local.This entry routes all other DNS requests to the on-premises DNS server.

  4. Para usar a configuração, reinicie o Bind.To use the configuration, restart Bind. Por exemplo: sudo service bind9 restart.For example, sudo service bind9 restart.

  5. Adicione um encaminhador condicional ao servidor DNS local.Add a conditional forwarder to the on-premises DNS server. Configure o encaminhador condicional para enviar solicitações para o sufixo DNS da etapa 1 para o servidor DNS personalizado.Configure the conditional forwarder to send requests for the DNS suffix from step 1 to the custom DNS server.

    Observação

    Consulte a documentação do software DNS para obter informações específicas sobre como adicionar um encaminhador condicional.Consult the documentation for your DNS software for specifics on how to add a conditional forwarder.

Depois de concluir essas etapas, você poderá se conectar aos recursos em uma das redes usando FQDNs (nomes de domínio totalmente qualificados).After completing these steps, you can connect to resources in either network using fully qualified domain names (FQDN). Agora você pode instalar o HDInsight na rede virtual.You can now install HDInsight into the virtual network.

Resolução de nomes entre duas redes virtuais conectadasName resolution between two connected virtual networks

Este exemplo faz as seguintes suposições:This example makes the following assumptions:

  • Você tem duas Redes Virtuais do Azure conectadas usando um gateway de VPN ou um emparelhamento.You have two Azure Virtual Networks that are connected using either a VPN gateway or peering.

  • O servidor DNS personalizado nas duas redes virtuais executa o Linux ou Unix como o sistema operacional.The custom DNS server in both networks is running Linux or Unix as the operating system.

  • O Bind está instalado nos servidores DNS personalizados.Bind is installed on the custom DNS servers.

  1. Use o Azure PowerShell ou a CLI do Azure para encontrar o sufixo DNS das duas redes virtuais:Use either Azure PowerShell or Azure CLI to find the DNS suffix of both virtual networks:

    Substitua RESOURCEGROUP com o nome do grupo de recursos que contém a rede virtual e, em seguida, digite o comando:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $NICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP"
    $NICs[0].DnsSettings.InternalDomainNameSuffix
    
    az network nic list --resource-group RESOURCEGROUP --query "[0].dnsSettings.internalDomainNameSuffix"
    
  2. Use o texto a seguir como o conteúdo do arquivo /etc/bind/named.config.local no servidor DNS personalizado.Use the following text as the contents of the /etc/bind/named.config.local file on the custom DNS server. Faça essa alteração no servidor DNS personalizado em ambas as redes virtuais.Make this change on the custom DNS server in both virtual networks.

    // Forward requests for the virtual network suffix to Azure recursive resolver
    zone "0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net" {
        type forward;
        forwarders {10.0.0.4;}; # The IP address of the DNS server in the other virtual network
    };
    

    Substitua o valor 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net pelo sufixo DNS da outra rede virtual.Replace the 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net value with the DNS suffix of the other virtual network. Essa entrada encaminha solicitações do sufixo DNS da rede remota para o DNS personalizado na rede.This entry routes requests for the DNS suffix of the remote network to the custom DNS in that network.

  3. Nos servidores DNS personalizados das duas redes virtuais, use o seguinte texto como o conteúdo do arquivo /etc/bind/named.conf.options:On the custom DNS servers in both virtual networks, use the following text as the contents of the /etc/bind/named.conf.options file:

    // Clients to accept requests from
    acl goodclients {
        10.1.0.0/16; # The IP address range of one virtual network
        10.0.0.0/16; # The IP address range of the other virtual network
        localhost;
        localnets;
    };
    
    options {
            directory "/var/cache/bind";
    
            recursion yes;
    
            allow-query { goodclients; };
    
            forwarders {
            168.63.129.16;   # Azure recursive resolver         
            };
    
            dnssec-validation auto;
    
            auth-nxdomain no;    # conform to RFC1035
            listen-on { any; };
    };
    

    Substitua os valores 10.0.0.0/16 e 10.1.0.0/16 pelos intervalos de endereços IP das redes virtuais.Replace the 10.0.0.0/16 and 10.1.0.0/16 values with the IP address ranges of your virtual networks. Essa entrada permite que os recursos em cada rede façam solicitações dos servidores DNS.This entry allows resources in each network to make requests of the DNS servers.

    Todas as solicitações não referentes aos sufixos DNS das redes virtuais (por exemplo, microsoft.com) são manipuladas pelo resolvedor recursivo do Azure.Any requests that are not for the DNS suffixes of the virtual networks (for example, microsoft.com) is handled by the Azure recursive resolver.

  4. Para usar a configuração, reinicie o Bind.To use the configuration, restart Bind. Por exemplo, sudo service bind9 restart em ambos os servidores DNS.For example, sudo service bind9 restart on both DNS servers.

Depois de concluir essas etapas, você poderá se conectar aos recursos na rede virtual usando FQDNs (nomes de domínio totalmente qualificados).After completing these steps, you can connect to resources in the virtual network using fully qualified domain names (FQDN). Agora você pode instalar o HDInsight na rede virtual.You can now install HDInsight into the virtual network.

Próximas etapasNext steps