Azure HDInsight 的 NSG 服务标记

网络安全组 (NSG) 的 Azure HDInsight 服务标记是运行状况和管理服务的 IP 地址组。 这些组有助于尽量降低创建安全规则时的复杂性。 服务标记允许来自特定 IP 的入站流量,而无需输入 NSG 中的每个管理 IP 地址

HDInsight 服务会管理这些服务标记。 你无法创建自己的服务标记,也无法修改现有标记。 Azure 会管理与服务标记匹配的这些地址前缀,并会在地址发生更改时自动更新服务标记。

如果要使用特定区域,并且此页面上尚未记录服务标记,则可以使用服务标记发现 API 查找服务标记。 还可以下载服务标记 JSON 文件并搜索所需区域。

开始使用服务标记

在网络安全组中使用服务标记有两个选项:

  • 使用单个全局 HDInsight 服务标记:此选项会向 HDInsight 服务用来监视所有区域中的群集的所有 IP 地址开放虚拟网络。 此选项是最简单的方法,但如果你有严格的安全要求,它可能不适合。

  • 使用多个区域性服务标记:此选项仅向 HDInsight 在该特定区域中使用的 IP 地址开放虚拟网络。 但是,如果你使用多个区域,则需要向虚拟网络中添加多个服务标记。

使用单个全局 HDInsight 服务标记

开始在 HDInsight 群集中使用服务标记的最简单方法是将全局标记 HDInsight 添加到 NSG 规则。

  1. Azure 门户中,选择你的网络安全组。

  2. 在“设置”下,依次选择“入站安全规则”、“+ 添加”。

  3. 在“源”下拉列表中,选择“服务标记”。

  4. 在“源服务标记”下拉列表中,选择“HDInsight”。

    从 Azure 门户添加服务标记。

此标记包含 HDInsight 可用的所有区域的运行状况和管理服务的 IP 地址。 此标记可确保无论群集创建于何处,群集都可以与必要的运行状况和管理服务通信。

使用区域性 HDInsight 服务标记

如果全局标记选项由于你需要更严格的权限而不可行,则只能允许适用于相应区域的服务标记。 可能有多个服务标记,具体取决于在其中创建群集的区域。

若要了解要为区域添加哪些服务标记,请阅读本文的以下部分。

使用单个区域性服务标记

如果群集位于此表中列出的某个区域中,则只需向 NSG 添加一个区域性服务标记。

国家/地区 区域 服务标记
中国 中国东部 2 HDInsight.ChinaEast2
  中国北部 2 HDInsight.ChinaNorth2

使用多个区域性服务标记

如果上表中未列出你创建群集时所在的区域,则需要允许多个区域性服务标记。 需要使用多个是因为不同区域的资源提供程序的安排不同。

其余区域根据它们使用的区域性服务标记划分为各个组。

组 1

中国北部和中国东部区域中的群集需要允许两个服务标记:HDInsight.ChinaNorthHDInsight.ChinaEast

后续步骤