重要
仅当想要配置 Azure 防火墙以外的网络虚拟设备(NVA)时,才需要以下信息。
对于许多常见的重要 FQDN,Azure 防火墙 FQDN 标记已自动配置为允许流量。 使用另一个网络虚拟设备需要配置额外的功能。 配置网络虚拟设备时,请记住以下因素:
- 可以使用服务终结点配置支持服务终结点的服务,这通常会出于成本或性能考虑因素而导致绕过 NVA。
- 如果将 ResourceProviderConnection 设置为“出站”,则可以将专用终结点用于存储,将 SQL 服务器用于元存储,而无需将它们添加到 NVA。
- IP 地址依赖项适用于非 HTTP/S 流量(TCP 和 UDP 流量)。
- 将创建的路由表分配给 HDInsight 子网。
可以选择性地启用以下一个或多个服务终结点,这会导致绕过 NVA。 此选项可用于大量的数据传输,以节省成本,也可用于性能优化。
| 终结点 |
|---|
| Azure SQL |
| Azure 存储 |
| Microsoft Entra ID |
| 终结点 | 详细信息 |
|---|---|
| 此处发布的 IP | 这些 IP 适用于 HDInsight 资源提供程序,应包含在 UDR 中,以避免非对称路由。 仅当 ResourceProviderConnection 设置为“入站”时,才需要此规则。 如果 ResourceProviderConnection 设置为 出站,则 UDR 中不需要这些 IP。 |
| Microsoft Entra 域服务专用 IP | 仅当 VNET 不是对等互连时,ESP 群集才需要该 IP。 |
可以获取依赖 FQDN(主要是 Azure 存储和 Azure 服务总线)的列表, 以便在此存储库中配置网络虚拟设备。 有关区域列表,请参阅 此处。 HDInsight 资源提供程序(RP)使用这些依赖项成功创建和管理群集。 其中包括遥测/诊断日志、预配元数据、群集相关配置、脚本等。此 FQDN 依赖项列表可能会在发布未来的 HDInsight 更新时发生更改。
以下列表仅提供了在创建群集过程中以及在群集操作的生存期内,OS 和安全修补程序或证书验证可能需要的几个 FQDN:
| 运行时依赖项 FQDN |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.chinacloudapi.cn:443 |
| login.chinacloudapi.cn:443 |