在 Azure HDInsight 中配置网络虚拟设备
重要
仅当所要配置的网络虚拟设备 (NVA) 不是 Azure 防火墙时,才需要以下信息。
对于许多常见的重要 FQDN,Azure 防火墙 FQDN 标记已自动配置为允许流量。 使用另一个网络虚拟设备需要配置额外的功能。 配置网络虚拟设备时请注意以下因素:
- 支持服务终结点的服务可以通过服务终结点进行配置,从而绕过 NVA,这通常出于成本或性能考虑。
- 如果将 ResourceProviderConnection 设置为“出站”,则可以将专用终结点用于存储,将 SQL 服务器用于元存储,而无需将它们添加到 NVA。
- IP 地址依赖项适用于非 HTTP/S 流量(TCP 和 UDP 流量)。
- 可在 NVA 设备中批准 FQDN HTTP/HTTPS 终结点。
- 将创建的路由表分配到 HDInsight 子网。
支持服务终结点的依赖项
可以选择启用以下一个或多个服务终结点,这将导致绕过 NVA。 此选项可用于大量数据传输,以便节省成本和优化性能。
| 终结点 |
|---|
| Azure SQL |
| Azure 存储 |
| Microsoft Entra ID |
IP 地址依赖项
| 终结点 | 详细信息 |
|---|---|
| 此处发布的 IP | 这些 IP 用于 HDInsight 资源提供程序,应包含在 UDR 中,以避免非对称路由。 仅当 ResourceProviderConnection 设置为“入站”时,才需要此规则。 如果将 ResourceProviderConnection 设置为“出站”,则 UDR 中不需要这些 IP。 |
| Microsoft Entra 域服务专用 IP | 仅当 VNET 未对等互连时,才需要 ESP 群集。 |
FQDN HTTP/HTTPS 依赖项
可以在此存储库中获取用于配置网络虚拟设备的相关 FQDN(主要是 Azure 存储和 Azure 服务总线)的列表。 有关区域列表,请参阅此处。 这些依赖项由 HDInsight 资源提供程序 (RP) 使用,以便成功创建和监视/管理群集。 其中包括遥测/诊断日志、预配元数据、与群集相关的配置、脚本等。此 FQDN 依赖项列表可能会随着未来 HDInsight 更新的发布而发生更改。
以下列表提供了在创建群集过程中以及在群集操作的生存期内,OS 和安全修补程序或证书验证可能需要的几个 FQDN:
| 运行时依赖项 FQDN |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.chinacloudapi.cn:443 |
| login.chinacloudapi.cn:443 |