在 Azure HDInsight 中配置网络虚拟设备

重要

仅当所要配置的网络虚拟设备 (NVA) 不是 Azure 防火墙时,才需要以下信息。

对于许多常见的重要 FQDN,Azure 防火墙 FQDN 标记已自动配置为允许流量。 使用另一个网络虚拟设备需要配置额外的功能。 配置网络虚拟设备时请注意以下因素:

  • 支持服务终结点的服务可以通过服务终结点进行配置,从而绕过 NVA,这通常出于成本或性能考虑。
  • 如果将 ResourceProviderConnection 设置为“出站”,则可以将专用终结点用于存储,将 SQL 服务器用于元存储,而无需将它们添加到 NVA。
  • IP 地址依赖项适用于非 HTTP/S 流量(TCP 和 UDP 流量)。
  • 可在 NVA 设备中批准 FQDN HTTP/HTTPS 终结点。
  • 将创建的路由表分配到 HDInsight 子网。

支持服务终结点的依赖项

可以选择启用以下一个或多个服务终结点,这将导致绕过 NVA。 此选项可用于大量数据传输,以便节省成本和优化性能。

终结点
Azure SQL
Azure 存储
Microsoft Entra ID

IP 地址依赖项

终结点 详细信息
此处发布的 IP 这些 IP 用于 HDInsight 资源提供程序,应包含在 UDR 中,以避免非对称路由。 仅当 ResourceProviderConnection 设置为“入站”时,才需要此规则。 如果将 ResourceProviderConnection 设置为“出站”,则 UDR 中不需要这些 IP
Microsoft Entra 域服务专用 IP 仅当 VNET 未对等互连时,才需要 ESP 群集。

FQDN HTTP/HTTPS 依赖项

可以在此存储库中获取用于配置网络虚拟设备的相关 FQDN(主要是 Azure 存储和 Azure 服务总线)的列表。 有关区域列表,请参阅此处。 这些依赖项由 HDInsight 资源提供程序 (RP) 使用,以便成功创建和监视/管理群集。 其中包括遥测/诊断日志、预配元数据、与群集相关的配置、脚本等。此 FQDN 依赖项列表可能会随着未来 HDInsight 更新的发布而发生更改。

以下列表提供了在创建群集过程中以及在群集操作的生存期内,OS 和安全修补程序或证书验证可能需要的几个 FQDN:

运行时依赖项 FQDN
azure.archive.ubuntu.com:80
security.ubuntu.com:80
ocsp.msocsp.com:80
ocsp.digicert.com:80
microsoft.com/pki/mscorp/cps/default.htm:443
microsoft.com:80
login.chinacloudapi.cn:443
login.chinacloudapi.cn:443

后续步骤