Настройка сетевого виртуального модуля в Azure HDInsight
Важно!
Приведенные ниже сведения применимы только для настройки сетевого виртуального модуля, не являющегося брандмауэром Azure.
Тег FQDN брандмауэра Azure автоматически настраивается на разрешение трафика для многих распространенных полных доменных имен. Использование другой виртуальной сети (модуль) требует настройки дополнительных функций. При настройке своего сетевого виртуального модуля учитывайте следующее:
- Службы, поддерживающие конечные точки службы, можно настроить с использованием таких конечных точек, чтобы обеспечить обход сетевого виртуального модуля. Как правило, это делается для снижения затрат или повышения производительности.
- Если для свойства ResourceProviderConnection задано значение outbound, то вы можете использовать частные конечные точки серверов хранилища и SQL для хранения метаданных. При этом нет необходимости добавлять их в сетевой виртуальный модуль.
- Зависимости IP-адресов задаются для трафика, не использующего протокол HTTP/HTTPS (трафика TCP и UDP).
- На устройстве сетевого виртуального модуля можно добавить конечные точки FQDN для протокола HTTP/HTTPS.
- Созданную вами таблицу маршрутизации назначьте своей подсети HDInsight.
Зависимости конечной точки службы
При необходимости можно включить одну или несколько следующих конечных точек службы, что приводит к обходу NVA. При передаче больших объемов данных это позволит снизить затраты и оптимизировать производительность.
| Конечная точка |
|---|
| Azure SQL |
| Хранилище Azure |
| ИД Microsoft Entra |
Зависимости IP-адреса
| Конечная точка | Подробности |
|---|---|
| IP-адреса, опубликованные здесь | Эти IP-адреса предназначены для поставщика ресурсов HDInsight и должны включаться в UDR, чтобы избежать асимметричной маршрутизации. Это правило необходимо, только если для свойства ResourceProviderConnection задано значение Inbound (Входящий). Если параметр ResourceProvider Подключение ion имеет значение Outbound, эти IP-адреса не нужны в UDR. |
| Частные IP-адреса доменных служб Microsoft Entra | Требуется только для кластеров ESP, если виртуальные сети не пиринговые. |
Зависимости FQDN протокола HTTP/HTTPS
Для настройки своего сетевого виртуального модуля вы можете получить список зависимых FQDN (в основном относящихся к службе хранилища Azure и служебной шине Azure) в этом репозитории. Список регионов см . здесь. Поставщик ресурсов HDInsight использует эти зависимости для успешного создания кластеров, их мониторинга и управления ими. К таким зависимостям относятся журналы телеметрии и диагностики, метаданные подготовки, связанные с кластером конфигурации, скрипты и т. д. После выпуска последующих обновлений HDInsight список зависимостей FQDN может измениться.
В следующем списке приведены несколько полных доменных имен, которые могут потребоваться для исправления операционной системы и безопасности или проверки сертификатов во время создания кластера и во время существования операций кластера:
| Полные доменные имена (FQDN) зависимостей среды выполнения |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.windows.net:443 |
| login.microsoftonline.com:443 |