Configurar o dispositivo virtual de rede no Azure HDInsight
Importante
As informações a seguir só são necessárias se você deseja configurar um dispositivo virtual de rede (NVA) diferente do Firewall do Azure.
A marca FQDN do Firewall do Azure é configurada automaticamente para permitir o tráfego de muitos dos FQDNs importantes comuns. O uso de outro dispositivo virtual de rede requer que você configure recursos extras. Tenha em mente os seguintes fatores ao configurar seu dispositivo virtual de rede:
- Os serviços compatíveis com Service Endpoint podem ser configurados com pontos de extremidade de serviço que resultam em ignorar o NVA, geralmente por considerações de custo ou desempenho.
- Se ResourceProviderConnection estiver definido como saída, você poderá usar pontos de extremidade privados para o armazenamento e servidores SQL para metastores e não há necessidade de adicioná-los ao NVA.
- As dependências de endereço IP são para tráfego não-HTTP/S (tráfego TCP e UDP).
- Os terminais FQDN HTTP/HTTPS podem ser aprovados no seu dispositivo NVA.
- Atribua a tabela de rotas criada à sub-rede do HDInsight.
Dependências compatíveis com ponto de extremidade de serviço
Opcionalmente, você pode habilitar um ou mais dos seguintes pontos de extremidade de serviço, que resultam em ignorar o NVA. Esta opção pode ser útil para grandes quantidades de transferências de dados para economizar custos e também para otimizações de desempenho.
| Ponto final |
|---|
| SQL do Azure |
| Armazenamento do Azure |
| Microsoft Entra ID |
Dependências de endereço IP
| Ponto final | Detalhes |
|---|---|
| IPs publicados aqui | Esses IPs são para o provedor de recursos HDInsight e devem ser incluídos no UDR para evitar roteamento assimétrico. Esta regra só é necessária se ResourceProviderConnection estiver definido como Inbound. Se o ResourceProviderConnection estiver definido como Outbound, esses IPs não serão necessários no UDR. |
| IPs privados dos Serviços de Domínio Microsoft Entra | Só precisa de clusters ESP, se as VNETs não estiverem emparelhadas. |
Dependências FQDN HTTP/HTTPS
Você pode obter a lista de FQDNs dependentes (principalmente o Armazenamento do Azure e o Barramento de Serviço do Azure) para configurar seu dispositivo virtual de rede neste repositório. Para a lista regional, veja aqui. Essas dependências são usadas pelo provedor de recursos (RP) do HDInsight para criar e monitorar/gerenciar clusters com êxito. Isso inclui logs de telemetria/diagnóstico, metadados de provisionamento, configurações relacionadas a clusters, scripts, etc. Essa lista de dependência do FQDN pode mudar com o lançamento de futuras atualizações do HDInsight.
A lista a seguir fornece alguns FQDNs que podem ser necessários para o sistema operacional e patches de segurança ou validações de certificado durante o processo de criação do cluster e durante o tempo de vida das operações do cluster:
| FQDNs de dependências de tempo de execução |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.windows.net:443 |
| login.microsoftonline.com:443 |