Запланируйте виртуальную сеть для Azure HDInsightPlan a virtual network for Azure HDInsight

В этой статье содержится справочная информация об использовании виртуальных сетей Azure (VNets) с Azure HDInsight.This article provides background information on using Azure Virtual Networks (VNets) with Azure HDInsight. В нем также рассматриваются решения по проектированию и реализации, которые должны быть приняты, прежде чем вы сможете реализовать виртуальную сеть для вашего кластера HDInsight.It also discusses design and implementation decisions that must be made before you can implement a virtual network for your HDInsight cluster. После завершения этапа планирования можно приступить к созданию виртуальных сетей для кластеров Azure HDInsight.Once the planning phase is finished, you can proceed to Create virtual networks for Azure HDInsight clusters. Для получения дополнительной информации об IP-адресах управления HDInsight, которые необходимы для правильной HDInsight management IP addressesнастройки групп сетевой безопасности (НСГ) и пользовательских маршрутов, см.For more information on HDInsight management IP addresses that are needed to properly configure network security groups (NSGs) and user-defined routes, see HDInsight management IP addresses.

Виртуальная сеть Azure обеспечивает реализацию следующих сценариев:Using an Azure Virtual Network enables the following scenarios:

  • Подключение к HDInsight непосредственно из локальной сети.Connecting to HDInsight directly from an on-premises network.
  • Подключение к хранилищам данных HDInsight в виртуальной сети Azure.Connecting HDInsight to data stores in an Azure Virtual network.
  • Непосредственной доступ к службам Apache Hadoop, которые не доступны публично через Интернет.Directly accessing Apache Hadoop services that aren't available publicly over the internet. Например, возможность напрямую работать с API Apache Kafka или использовать API Java для Apache HBase.For example, Apache Kafka APIs or the Apache HBase Java API.

Важно!

Создание кластера HDInsight в VNET создаст несколько сетевых ресурсов, таких как NICs и балансеры нагрузки.Creating an HDInsight cluster in a VNET will create several networking resources, such as NICs and load balancers. Не not удаляйте эти сетевые ресурсы, так как они необходимы для правильного функционирования кластера с VNET.Do not delete these networking resources, as they are needed for your cluster to function correctly with the VNET.

После 28 февраля 2019 года сетевые ресурсы (такие как NICs, LBs и т.д.) для кластеров NEW HDInsight, созданных в Группе ресурсов VNET, будут подготовлены в той же группе ресурсов кластера HDInsight.After Feb 28, 2019, the networking resources (such as NICs, LBs, etc) for NEW HDInsight clusters created in a VNET will be provisioned in the same HDInsight cluster resource group. Ранее эти ресурсы были выделены в группу ресурсов VNET.Previously, these resources were provisioned in the VNET resource group. Нет никаких изменений в текущих запущенных кластерах и кластерах, созданных без VNET.There is no change to the current running clusters and those clusters created without a VNET.

ПланированиеPlanning

Ниже перечислены вопросы, на которые необходимо ответить, если планируется установка HDInsight в виртуальной сети.The following are the questions that you must answer when planning to install HDInsight in a virtual network:

  • Необходимо ли установить HDInsight в существующей виртуальной сети?Do you need to install HDInsight into an existing virtual network? Или вы создаете новую сеть?Or are you creating a new network?

    Если вы используете существующую виртуальную сеть, возможно, потребуется изменить конфигурацию сети, прежде чем вы сможете установить HDInsight.If you're using an existing virtual network, you may need to modify the network configuration before you can install HDInsight. Дополнительные сведения см. в разделе Добавление HDInsight в существующую виртуальную сеть.For more information, see the add HDInsight to an existing virtual network section.

  • Необходимо ли подключить виртуальную сеть, содержащую HDInsight, к другой виртуальной сети или к локальной сети?Do you want to connect the virtual network containing HDInsight to another virtual network or your on-premises network?

    Для удобства работы с ресурсами в сетях может потребоваться создать пользовательский DNS-сервер и настроить переадресацию DNS.To easily work with resources across networks, you may need to create a custom DNS and configure DNS forwarding. Дополнительные сведения см. в разделе Подключение нескольких сетей.For more information, see the connecting multiple networks section.

  • Необходимо ли ограничить/перенаправить входящий или исходящий трафик в HDInsight?Do you want to restrict/redirect inbound or outbound traffic to HDInsight?

    Для HDInsight требуется неограниченная связь с определенными IP-адресами в центре обработки данных Azure.HDInsight must have unrestricted communication with specific IP addresses in the Azure data center. Существует несколько портов, которые следует разрешить в брандмауэрах для взаимодействия с клиентами.There are also several ports that must be allowed through firewalls for client communication. Дополнительные сведения см. в разделе Управление сетевым трафиком.For more information, see the controlling network traffic section.

Добавление HDInsight в существующую виртуальную сетьAdd HDInsight to an existing virtual network

Следуйте инструкциям в этом разделе, чтобы узнать, как добавить новый кластер HDInsight в существующую виртуальную сеть Azure.Use the steps in this section to discover how to add a new HDInsight to an existing Azure Virtual Network.

Примечание

В виртуальную сеть невозможно добавить существующий кластер HDInsight.You cannot add an existing HDInsight cluster into a virtual network.

  1. Какая модель используется для развертывания виртуальной сети: классическая модель или развертывание с помощью диспетчера ресурсов?Are you using a classic or Resource Manager deployment model for the virtual network?

    Для HDInsight 3.4 и более поздней версии требуется виртуальная сеть диспетчера ресурсов.HDInsight 3.4 and greater requires a Resource Manager virtual network. Для работы более ранних версий HDInsight требовалась классическая виртуальная сеть.Earlier versions of HDInsight required a classic virtual network.

    Если существующая сеть является классической виртуальной сетью, необходимо создать виртуальную сеть диспетчера ресурсов и затем соединить их друг с другом.If your existing network is a classic virtual network, then you must create a Resource Manager virtual network and then connect the two. Подключение виртуальных сетей из разных моделей развертывания с помощью портала.Connecting classic VNets to new VNets.

    После присоединения экземпляр HDInsight, который установлен в сети диспетчера ресурсов, может взаимодействовать с ресурсами в классической сети.Once joined, HDInsight installed in the Resource Manager network can interact with resources in the classic network.

  2. Применяются ли группы безопасности сети, определяемые пользователем маршруты или виртуальные сетевые устройства для ограничения входящего или исходящего трафика виртуальной сети?Do you use network security groups, user-defined routes, or Virtual Network Appliances to restrict traffic into or out of the virtual network?

    Поскольку HDInsight является управляемой службой, ей требуется неограниченный доступ к нескольким IP-адресам в центре обработки данных Azure.As a managed service, HDInsight requires unrestricted access to several IP addresses in the Azure data center. Чтобы разрешить взаимодействие с этими IP-адресами, обновите существующие группы безопасности сети и определяемые пользователем маршруты.To allow communication with these IP addresses, update any existing network security groups or user-defined routes.

    В состав HDInsight входит несколько служб, которые используют различные порты.HDInsight hosts multiple services, which use a variety of ports. Не блокируйте трафик в эти порты.Don't block traffic to these ports. Список портов, трафик через которые следует разрешить на межсетевых экранах виртуального устройства, см. в разделе "Безопасность".For a list of ports to allow through virtual appliance firewalls, see the Security section.

    Чтобы найти существующую конфигурацию безопасности, используйте следующие команды Azure PowerShell или Azure CLI:To find your existing security configuration, use the following Azure PowerShell or Azure CLI commands:

    • Группы безопасности сетиNetwork security groups

      Замените RESOURCEGROUP название группы ресурсов, содержащей виртуальную сеть, а затем введите команду:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzNetworkSecurityGroup -ResourceGroupName  "RESOURCEGROUP"
      
      az network nsg list --resource-group RESOURCEGROUP
      

      Дополнительные сведения см. в документе, посвященном устранению неполадок с группами безопасности сети.For more information, see the Troubleshoot network security groups document.

      Важно!

      Правила группы безопасности сети применяются в порядке, основанном на приоритете правила.Network security group rules are applied in order based on rule priority. Применяется первое правило, которое соответствует шаблону трафика; другие правила не применяются к этому трафику.The first rule that matches the traffic pattern is applied, and no others are applied for that traffic. Правила применяются в следующем порядке: от правила с максимальными разрешениями к правилу с минимальными разрешениями.Order rules from most permissive to least permissive. Дополнительные сведения см. в документе Фильтрация сетевого трафика с помощью групп безопасности сети.For more information, see the Filter network traffic with network security groups document.

    • Определяемые пользователем маршрутыUser-defined routes

      Замените RESOURCEGROUP название группы ресурсов, содержащей виртуальную сеть, а затем введите команду:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

      Get-AzRouteTable -ResourceGroupName "RESOURCEGROUP"
      
      az network route-table list --resource-group RESOURCEGROUP
      

      Дополнительные сведения см. в документе, посвященном устранению неполадок с маршрутами.For more information, see the Troubleshoot routes document.

  3. Создайте кластер HDInsight и выберите виртуальную сеть Azure во время настройки.Create an HDInsight cluster and select the Azure Virtual Network during configuration. Следуйте инструкциям в следующих документах, чтобы понять процесс создания кластера:Use the steps in the following documents to understand the cluster creation process:

    Важно!

    Добавление кластера HDInsight в виртуальную сеть — это необязательный шаг настройки.Adding HDInsight to a virtual network is an optional configuration step. При настройке кластера не забудьте выбрать виртуальную сеть.Be sure to select the virtual network when configuring the cluster.

Подключение нескольких сетейConnecting multiple networks

Самая сложная задача в конфигурации с несколькими сетями — это разрешение имен между сетями.The biggest challenge with a multi-network configuration is name resolution between the networks.

Azure предоставляет разрешение имен для служб Azure, установленных в виртуальной сети.Azure provides name resolution for Azure services that are installed in a virtual network. Эта встроенная функция разрешения имен позволяет HDInsight подключаться к следующим ресурсам с помощью полного доменного имени (FQDN):This built-in name resolution allows HDInsight to connect to the following resources by using a fully qualified domain name (FQDN):

  • любые ресурсы, доступные в Интернете;Any resource that is available on the internet. например, microsoft.com, windowsupdate.com;For example, microsoft.com, windowsupdate.com.

  • любой ресурс, который находится в той же виртуальной сети Azure, с помощью внутреннего DNS-имени ресурса;Any resource that is in the same Azure Virtual Network, by using the internal DNS name of the resource. Например, при использовании разрешения имени по умолчанию приведены примеры внутренних имен DNS, присвоенных рабочим узлам HDInsight:For example, when using the default name resolution, the following are examples of internal DNS names assigned to HDInsight worker nodes:

    • wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net;wn0-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

    • wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.wn2-hdinsi.0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net

      Оба этих узла могут взаимодействовать напрямую друг с другом и с другими узлами в HDInsight, используя внутренние DNS-имена.Both these nodes can communicate directly with each other, and other nodes in HDInsight, by using internal DNS names.

При использовании разрешения имен по умолчанию HDInsight запрещено разрешать имена ресурсов в сетях, которые присоединены к виртуальной сети.The default name resolution does not allow HDInsight to resolve the names of resources in networks that are joined to the virtual network. Например, обычно в виртуальную сеть присоединяются к вашей сети.For example, it's common to join your on-premises network to the virtual network. С только разрешением имени по умолчанию HDInsight не может получить доступ к ресурсам в предварительной сети по имени.With only the default name resolution, HDInsight can't access resources in the on-premises network by name. Обратное также верно, ресурсы в вашей сети не могут получить доступ к ресурсам в виртуальной сети по имени.The opposite is also true, resources in your on-premises network can't access resources in the virtual network by name.

Предупреждение

Перед созданием кластера HDInsight необходимо создать пользовательский DNS-сервер и настроить виртуальную сеть на использование этого сервера.You must create the custom DNS server and configure the virtual network to use it before creating the HDInsight cluster.

Чтобы включить разрешение имен между виртуальной сетью и ресурсами в присоединенных сетях, выполните указанные ниже действия.To enable name resolution between the virtual network and resources in joined networks, you must perform the following actions:

  1. Создайте пользовательский DNS-сервер в виртуальной сети Azure, где планируется установить HDInsight.Create a custom DNS server in the Azure Virtual Network where you plan to install HDInsight.

  2. Настройте виртуальную сеть для использования с пользовательским DNS-сервером.Configure the virtual network to use the custom DNS server.

  3. Найдите назначенный Azure DNS-суффикс для виртуальной сети.Find the Azure assigned DNS suffix for your virtual network. Это значение аналогично 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net.This value is similar to 0owcbllr5hze3hxdja3mqlrhhe.ex.internal.cloudapp.net. Сведения о поиске DNS-суффиксов см. в разделе Пример: пользовательский DNS-сервер.For information on finding the DNS suffix, see the Example: Custom DNS section.

  4. Настройте перенаправление между DNS-серверами.Configure forwarding between the DNS servers. Конфигурация зависит от типа удаленной сети.The configuration depends on the type of remote network.

    • Если удаленная сеть является локальной, настройте DNS следующим образом:If the remote network is an on-premises network, configure DNS as follows:

      • Пользовательский DNS-сервер (в виртуальной сети):Custom DNS (in the virtual network):

        • Перенаправляйте запросы DNS-суффиксов виртуальной сети на рекурсивный сопоставитель Azure (168.63.129.16).Forward requests for the DNS suffix of the virtual network to the Azure recursive resolver (168.63.129.16). Azure обрабатывает запросы к ресурсам в виртуальной сетиAzure handles requests for resources in the virtual network

        • Остальные запросы перенаправляйте на локальный DNS-сервер.Forward all other requests to the on-premises DNS server. Локальный DNS-сервер обрабатывает все остальные запросы на разрешение имен, включая запросы к интернет-ресурсам, таким как microsoft.com.The on-premises DNS handles all other name resolution requests, even requests for internet resources such as Microsoft.com.

      • Локальный DNS-сервер: перенаправляйте запросы DNS-суффиксов виртуальной сети на пользовательский DNS-сервер.On-premises DNS: Forward requests for the virtual network DNS suffix to the custom DNS server. Последний затем перенаправляет их на рекурсивный сопоставитель Azure.The custom DNS server then forwards to the Azure recursive resolver.

        Такая конфигурация пересылает запросы полных доменных имен с DNS-суффиксом для виртуальных сетей на пользовательский DNS-сервер.This configuration routes requests for fully qualified domain names that contain the DNS suffix of the virtual network to the custom DNS server. Все остальные запросы (даже для общедоступных интернет-адресов) обрабатываются локальным DNS-сервером.All other requests (even for public internet addresses) are handled by the on-premises DNS server.

    • Если удаленная сеть является еще одной виртуальной сетью Azure, настройте DNS следующим образом:If the remote network is another Azure Virtual Network, configure DNS as follows:

      • Пользовательский DNS-сервер (в каждой виртуальной сети):Custom DNS (in each virtual network):

        • Запросы DNS-суффиксов виртуальных сетей перенаправляются на пользовательские DNS-серверы.Requests for the DNS suffix of the virtual networks are forwarded to the custom DNS servers. DNS-сервер в каждой виртуальной сети должен разрешать ресурсы в своей сети.The DNS in each virtual network is responsible for resolving resources within its network.

        • Все остальные запросы перенаправляются на рекурсивный сопоставитель Azure.Forward all other requests to the Azure recursive resolver. Рекурсивный сопоставитель отвечает за разрешение локальных и интернет-ресурсов.The recursive resolver is responsible for resolving local and internet resources.

        DNS-сервер для каждой сети перенаправляет запросы на другой сервер на основе DNS-суффикса.The DNS server for each network forwards requests to the other, based on DNS suffix. Все остальные запросы разрешаются рекурсивным сопоставителем Azure.Other requests are resolved using the Azure recursive resolver.

      Пример каждой конфигурации см. в разделе Пример: пользовательский DNS-сервер.For an example of each configuration, see the Example: Custom DNS section.

Дополнительные сведения см. в документе Разрешение имен для виртуальных машин и экземпляров ролей.For more information, see the Name Resolution for VMs and Role Instances document.

Прямое соединение со службами Apache HadoopDirectly connect to Apache Hadoop services

Вы можете подключиться к кластеру по адресу https://CLUSTERNAME.azurehdinsight.net.You can connect to the cluster at https://CLUSTERNAME.azurehdinsight.net. Этот адрес использует общедоступный IP-адрес, который может быть недоступен, если вы использовали NSG для ограничения входящего трафика из Интернета.This address uses a public IP, which may not be reachable if you have used NSGs to restrict incoming traffic from the internet. Кроме того, при развертывании кластера в виртуальной сети доступ к нему можно получить с помощью частной конечной точки https://CLUSTERNAME-int.azurehdinsight.net.Additionally, when you deploy the cluster in a VNet you can access it using the private endpoint https://CLUSTERNAME-int.azurehdinsight.net. Эта конечная точка разрешается в частный IP-адрес виртуальной сети для доступа к кластеру.This endpoint resolves to a private IP inside the VNet for cluster access.

Для подключения к Apache Ambari и другим веб-страницам через виртуальную сеть сделайте следующее:To connect to Apache Ambari and other web pages through the virtual network, use the following steps:

  1. Чтобы найти внутренние полные доменные имена (FQDN) узлов кластера HDInsight, используйте один из следующих методов:To discover the internal fully qualified domain names (FQDN) of the HDInsight cluster nodes, use one of the following methods:

    Замените RESOURCEGROUP название группы ресурсов, содержащей виртуальную сеть, а затем введите команду:Replace RESOURCEGROUP with the name of the resource group that contains the virtual network, and then enter the command:

    $clusterNICs = Get-AzNetworkInterface -ResourceGroupName "RESOURCEGROUP" | where-object {$_.Name -like "*node*"}
    
    $nodes = @()
    foreach($nic in $clusterNICs) {
        $node = new-object System.Object
        $node | add-member -MemberType NoteProperty -name "Type" -value $nic.Name.Split('-')[1]
        $node | add-member -MemberType NoteProperty -name "InternalIP" -value $nic.IpConfigurations.PrivateIpAddress
        $node | add-member -MemberType NoteProperty -name "InternalFQDN" -value $nic.DnsSettings.InternalFqdn
        $nodes += $node
    }
    $nodes | sort-object Type
    
    az network nic list --resource-group RESOURCEGROUP --output table --query "[?contains(name,'node')].{NICname:name,InternalIP:ipConfigurations[0].privateIpAddress,InternalFQDN:dnsSettings.internalFqdn}"
    

    В возвращенном списке узлов найдите полные доменные имена (FQDN) головных узлов и используйте эти имена для подключения к Ambari и другим веб-службам.In the list of nodes returned, find the FQDN for the head nodes and use the FQDNs to connect to Ambari and other web services. Например, воспользуйтесь http://<headnode-fqdn>:8080 для доступа к Ambari.For example, use http://<headnode-fqdn>:8080 to access Ambari.

    Важно!

    Некоторые службы, размещенные на головных узлах, одновременно активны только на одном узле.Some services hosted on the head nodes are only active on one node at a time. Если при попытке доступа к службе на одном головном узле появляется сообщение об ошибке 404, переключитесь на другой головной узел.If you try accessing a service on one head node and it returns a 404 error, switch to the other head node.

  2. Чтобы определить узел и порт, через которые доступна служба, обратитесь к документу Порты, используемые службами Hadoop в HDInsight.To determine the node and port that a service is available on, see the Ports used by Hadoop services on HDInsight document.

Управление сетевым трафикомControlling network traffic

Методы управления входящим и исходящим трафиком в кластеры HDInsightTechniques for controlling inbound and outbound traffic to HDInsight clusters

Для управления сетевым трафиком в виртуальных сетях Azure можно использовать следующие методы:Network traffic in an Azure Virtual Networks can be controlled using the following methods:

  • Группы безопасности сети (NSG) позволяют фильтровать входящий и исходящий трафик в сети.Network security groups (NSG) allow you to filter inbound and outbound traffic to the network. Дополнительные сведения см. в документе Фильтрация сетевого трафика с помощью групп безопасности сети.For more information, see the Filter network traffic with network security groups document.

  • Сетевые виртуальные приборы (NVA) можно использовать только с исходящим трафиком.Network virtual appliances (NVA) can be used with outbound traffic only. NVAs воспроизводят функциональность устройств, таких как брандмауэры и маршрутизаторы.NVAs replicate the functionality of devices such as firewalls and routers. Дополнительные сведения см. в документе Сетевые устройства.For more information, see the Network Appliances document.

Как управляемая услуга, HDInsight требует неограниченного доступа к службам работоспособности и управления HDInsight как для входящего, так и для исходящего трафика из VNET.As a managed service, HDInsight requires unrestricted access to the HDInsight health and management services both for incoming and outgoing traffic from the VNET. При использовании НСГ необходимо убедиться, что эти службы по-прежнему могут общаться с кластером HDInsight.When using NSGs, you must ensure that these services can still communicate with HDInsight cluster.

Диаграмма объектов HDInsight, созданных в пользовательском VNET на заказ Azure

HDInsight с группами сетевой безопасностиHDInsight with network security groups

Если вы планируете использовать группы сетевой безопасности для управления сетевым трафиком, выполните следующие действия перед установкой HDInsight:If you plan on using network security groups to control network traffic, perform the following actions before installing HDInsight:

  1. Определите регион Azure, который планируется использовать для HDInsight.Identify the Azure region that you plan to use for HDInsight.

  2. Определите теги служб, требуемые HDInsight для вашего региона.Identify the service tags required by HDInsight for your region. Для получения дополнительной информации см. группы безопасности сети (NSG) теги службы для Azure HDInsight.For more information, see Network security group (NSG) service tags for Azure HDInsight.

  3. Создавайте или изменяйте группы сетевой безопасности для подсети, в которую вы планируете установить HDInsight.Create or modify the network security groups for the subnet that you plan to install HDInsight into.

    • Группы безопасности сети: разрешите входящий трафик через порт 443 с диапазона IP-адресов.Network security groups: allow inbound traffic on port 443 from the IP addresses. Это гарантирует, что службы управления HDInsight могут достичь кластера из-за пределов виртуальной сети.This will ensure that HDInsight management services can reach the cluster from outside the virtual network.

Для получения дополнительной информации о overview of network security groupsгруппах сетевой безопасности см.For more information on network security groups, see the overview of network security groups.

Управление исходящим трафиком из кластеров HDInsightControlling outbound traffic from HDInsight clusters

Для получения дополнительной информации о контроле исходящего трафика из кластеров HDInsight см.For more information on controlling outbound traffic from HDInsight clusters, see Configure outbound network traffic restriction for Azure HDInsight clusters.

Принудительное туннелирование в помещенияForced tunneling to on-premises

Принудительное туннелирование — это определяемая пользователем конфигурация маршрутизации, где весь трафик из подсети принудительно направляется в определенную сеть или расположение, например в локальную сеть.Forced tunneling is a user-defined routing configuration where all traffic from a subnet is forced to a specific network or location, such as your on-premises network. HDInsight не поддерживает принудительное туннелирование трафика в сети.HDInsight does not support forced tunneling of traffic to on-premises networks.

Требуемые IP-адресаRequired IP addresses

Если для управления трафиком используются группы сетевой безопасности или маршруты, определяемые пользователями, см.If you use network security groups or user-defined routes to control traffic, see HDInsight management IP addresses.

Требуемые портыRequired ports

Если вы планируете использовать брандмауэр и получить доступ к кластеру за пределами определенных портов, вам следует разрешить трафик на этих портах, необходимых для вашего сценария.If you plan on using a firewall and access the cluster from outside on certain ports, you might need to allow traffic on those ports needed for your scenario. По умолчанию специальные списки разрешенных портов не требуются, если трафик управления Azure, описанный в предыдущем разделе, может достигать кластера на порте 443.By default, no special whitelisting of ports is needed as long as the azure management traffic explained in the previous section is allowed to reach cluster on port 443.

См. список портов, используемых службами Hadoop в HDInsight.For a list of ports for specific services, see the Ports used by Apache Hadoop services on HDInsight document.

Дополнительные сведения о правилах межсетевого экрана для виртуальных модулей см. в документе Сценарий использования виртуальных устройств.For more information on firewall rules for virtual appliances, see the virtual appliance scenario document.

балансировка нагрузки;Load balancing

При создании кластера HDInsight создается также балансера нагрузки.When you create an HDInsight cluster, a load balancer is created as well. Тип этого баланса нагрузки находится на базовом уровне SKU,который имеет определенные ограничения.The type of this load balancer is at the basic SKU level, which has certain constraints. Одним из таких ограничений является то, что если у вас есть две виртуальные сети в разных регионах, вы не можете подключиться к основным балансификаторам нагрузки.One of these constraints is that if you have two virtual networks in different regions, you cannot connect to basic load balancers. Смотрите виртуальные сети часто задаваемые вопросы: ограничения на глобальный vnet пиринг, для получения дополнительной информации.See virtual networks FAQ: constraints on global vnet peering, for more information.

Протокол TLSTransport Layer Security

Соединения с кластером через конечную точку https://<clustername>.azurehdinsight.net общедоступного кластера проксиируются через узлов шлюзов кластера.Connections to the cluster via the public cluster endpoint https://<clustername>.azurehdinsight.net are proxied through cluster gateway nodes. Эти соединения защищены с помощью протокола под названием TLS.These connections are secured using a protocol called TLS. Обеспечение более высоких версий TLS на шлюзах повышает безопасность этих соединений.Enforcing higher versions of TLS on gateways improves the security for these connections. Для получения дополнительной информации о том, почему вы должны использовать новые версии TLS, см.For more information on why you should use newer versions of TLS, see Solving the TLS 1.0 Problem.

По умолчанию кластеры Azure HDInsight принимают соединения TLS 1.2 на общедоступных конечных точках HTTPS, а также старые версии для обратной совместимости.By default, Azure HDInsight clusters accept TLS 1.2 connections on public HTTPS endpoints, as well as older versions for backward compatibility. Можно управлять минимальной версией TLS, поддерживаемой на узлах шлюза во время создания кластера, используя либо портал Azure, либо шаблон диспетчера ресурсов.You can control the minimum TLS version supported on the gateway nodes during cluster creation using either the Azure portal, or a resource manager template. Для портала выберите версию TLS из сетевой вкладки «Безопасность и сеть» во время создания кластера.For the portal, select the TLS version from the Security + networking tab during cluster creation. Для шаблона диспетчера ресурсов во время развертывания используйте свойство minSupportedTlsVersion.For a resource manager template at deployment time, use the minSupportedTlsVersion property. Для шаблона образца см.For a sample template, see HDInsight minimum TLS 1.2 Quickstart template. Это свойство поддерживает три значения: "1.0", "1.1" и "1.2", которые соответствуют TLS 1.0 ", TLS 1.1" и TLS 1.2 "соответственно.This property supports three values: "1.0", "1.1" and "1.2", which correspond to TLS 1.0+, TLS 1.1+ and TLS 1.2+ respectively.

Важно!

Начиная с 30 июня 2020 года, Azure HDInsight будет применять TLS 1.2 или более поздние версии для всех соединений HTTPS.Starting on June 30, 2020, Azure HDInsight will enforce TLS 1.2 or later versions for all HTTPS connections. Мы рекомендуем вам убедиться, что все ваши клиенты готовы обрабатывать TLS 1.2 или более поздние версии.We recommend that you ensure that all your clients are ready to handle TLS 1.2 or later versions. Для получения дополнительной Azure HDInsight TLS 1.2 Enforcementинформации см.For more information, see Azure HDInsight TLS 1.2 Enforcement.

Дальнейшие действияNext steps