在 Azure HDInsight 中設定網路虛擬設備
重要
下列資訊僅在當您想要設定 Azure 防火牆以外的網路虛擬設備 (NVA) 時,才需要提供。
Azure 防火牆 FQDN 標籤會自動設定為允許許多常見重要 FQDN 的流量。 使用另一個網路虛擬設備需要您設定額外的功能。 當您設定網路虛擬設備時,請記住下列因素:
- 服務端點功能服務可以使用服務端點來設定,這會導致略過 NVA,通常是針對成本或效能考量。
- 如果 ResourceProviderConnection 設定為 [輸出],您可以將私人端點使用於針對中繼存放區的儲存體和 SQL 伺服器,而且不需要將其新增至 NVA。
- IP 地址相依性是針對非 HTTP/S 流量 (TCP 與 UDP 流量)。
- FQDN HTTP/HTTPS 端點可以在您的 NVA 裝置核准。
- 將您建立的路由表指派到您的 HDInsight 子網路。
服務端點功能相依性
您可以選擇性地啟用下列一或多個服務端點,這會導致略過 NVA。 此選項對於大量資料傳輸很有用,以節省成本,也可用於效能最佳化。
端點 |
---|
Azure SQL |
Azure 儲存體 |
Microsoft Entra ID |
IP 位址相依性
端點 | 詳細資料 |
---|---|
這裡發佈的 IP | 這些 IP 適用於 HDInsight 資源提供者,且應該包含在 UDR 中,以避免非對稱路由。 只有在 ResourceProviderConnection 設定為 [輸入] 時,才需要此規則。 如果 ResourceProviderConnection 設定為 [輸出],則 UDR 便不需要這些 IP。 |
Microsoft Entra 網域服務私人 IP | 只有在 VNET 不是對等互連時,ESP 叢集才會需要它。 |
FQDN HTTP/HTTPS 相依性
您可以取得相依 FQDN 的清單 (大部分是 Azure 儲存體和 Azure 服務匯流排),以在此存放庫中設定網路虛擬設備。 如需區域清單,請參閱這裡。 HDInsight 資源提供者 (RP) 會使用這些相依性,以成功建立和監視/管理叢集。 其中包括遙測/診斷記錄、佈建中繼資料、叢集相關組態、指令碼等。此 FQDN 相依性清單可能會隨著發行未來的 HDInsight 更新而變更。
下列清單只會提供一些 FQDN,而在叢集建立流程期間以及叢集作業存留期間,OS 和安全性修補或憑證驗證可能需要這些 FQDN:
執行時間相依性 FQDN |
---|
azure.archive.ubuntu.com:80 |
security.ubuntu.com:80 |
ocsp.msocsp.com:80 |
ocsp.digicert.com:80 |
microsoft.com/pki/mscorp/cps/default.htm:443 |
microsoft.com:80 |
login.windows.net:443 |
login.microsoftonline.com:443 |