HDInsight 管理 IP 地址
本文列出了 Azure HDInsight 运行状况和管理服务使用的 IP 地址。 如果使用网络安全组 (NSG) 或用户定义的路由 (UDR),则可能需要将其中一些 IP 地址添加到入站网络流量的允许列表中。
简介
重要
在大多数情况下,现在可以对网络安全组使用 服务标记,而不是手动添加 IP 地址。 我们不会为新的 Azure 区域发布 IP 地址,这些区域仅具有已发布的服务标记。 管理 IP 地址的静态 IP 地址最终将被弃用。
如果使用网络安全组 (NSG) 或用户定义的路由 (UDR) 来控制流向 HDInsight 群集的入站流量,则必须确保群集能够与关键的 Azure 运行状况和管理服务通信。 这些服务的有些 IP 地址特定于区域,而有些则适用于所有 Azure 区域。 如果使用的不是自定义 DNS,则可能还需要允许来自 Azure DNS 服务的流量。
如果需要此处未列出的区域的 IP 地址,则可以使用服务标记发现 API 查找所在区域的 IP 地址。 如果无法使用该 API,请下载服务标记 JSON 文件并搜索所需的区域。
HDInsight 通过群集创建和扩展来验证这些规则,以防止进一步的错误。 如果验证未通过,则创建和扩展将失败。
以下部分介绍了必须允许的特定 IP 地址。
Azure DNS 服务
如果使用的是 Azure 提供的 DNS 服务,则对于 TCP 和 UDP,允许通过端口 53 访问 168.63.129.16。 有关详细信息,请参阅 VM 和角色实例的名称解析文档。 如果使用的是自定义 DNS,请跳过此步骤。
运行状况和管理服务:所有区域
对于适用于所有 Azure 区域的 Azure HDInsight 运行状况和管理服务,允许来自其以下 IP 地址的流量:
| 源 IP 地址 | 目标 | 方向 |
|---|---|---|
| 168.61.49.99 | *:443 | 入站 |
| 23.99.5.239 | *:443 | 入站 |
| 168.61.48.131 | *:443 | 入站 |
| 138.91.141.162 | *:443 | 入站 |
运行状况和管理服务:特定的区域
对于位于资源所在特定 Azure 区域中的 Azure HDInsight 运行状况和管理服务,允许来自列出的 IP 地址的流量,请参阅以下说明:
重要
建议使用网络安全组的服务标记功能。 如果需要特定于区域的服务标记,请参阅 Azure IP 范围和服务标记 - 中国云
有关详细信息,请参阅控制网络流量。
如果使用用户定义的路由 (UDR),则应当指定一个路由并允许来自虚拟网络的出站流量到达下一跃点设置为“Internet”的上述 IP。