Konfigurieren eines virtuellen Netzwerkgeräts in Azure HDInsight
Wichtig
Die folgenden Informationen sind nur erforderlich, wenn Sie ein anderes virtuelles Netzwerkgerät (Network Virtual Appliance, NVA) als Azure Firewall konfigurieren möchten.
Das FQDN-Tag in Azure Firewall wird automatisch so konfiguriert, dass der Datenverkehr für viele der gängigen, wichtigen FQDNs zugelassen wird. Für die Verwendung eines anderen virtuellen Netzwerk-Geräts müssen Sie zusätzliche Features konfigurieren. Bedenken Sie beim Konfigurieren Ihrer virtuellen Netzwerkappliance Folgendes:
- Dienstendpunktfähige Dienste können mit Dienstendpunkten konfiguriert werden, was zu einer Umgehung des virtuellen Netzwerkgeräts führt (in der Regel aus Kosten- oder Leistungsüberlegungen).
- Wenn ResourceProviderConnection auf Outbound (Ausgehend) festgelegt ist, können Sie private Endpunkte für die Speicher- und SQL Server-Instanzen für Metastores verwenden, und es ist nicht erforderlich, sie dem NVA hinzuzufügen.
- IP-Adressabhängigkeiten gelten für Nicht-HTTP/S-Datenverkehr (TCP- und UDP-Datenverkehr).
- FQDN HTTP/HTTPS-Endpunkte können auf Ihrem NVA-Gerät genehmigt werden.
- Weisen Sie die Routingtabelle zu, die Sie für Ihr HDInsight-Subnetz erstellen.
Dienstendpunktfähige Abhängigkeiten
Optional können Sie mindestens einen der folgenden Dienstendpunkte aktivieren, um das virtuelle Netzwerkgerät zu umgehen. Diese Option kann für große Mengen an Datenübertragungen nützlich sein, um Kosten zu sparen und außerdem Leistungsoptimierungen zu erzielen.
| Endpunkt |
|---|
| Azure SQL |
| Azure Storage |
| Microsoft Entra ID |
IP-Adressabhängigkeiten
| Endpunkt | Details |
|---|---|
| Hier veröffentlichte IP-Adressen | Diese IP-Adressen gelten für die HDInsight-Ressourcenanbieter und sollten in der UDR enthalten sein, um asymmetrisches Routing zu vermeiden. Diese Regel ist nur erforderlich, wenn ResourceProviderConnection auf Inbound (Eingehend) festgelegt ist. Wenn ResourceProviderConnection auf Outbound (Ausgehend) festgelegt ist, werden diese IP-Adressen in der UDR nicht benötigt. |
| Private Microsoft Entra Domain Services-IPs | Nur für ESP-Cluster erforderlich, wenn die VNETs nicht per Peering verknüpft wurden. |
FQDN-HTTP/HTTPS-Abhängigkeiten
Sie finden in diesem Repository die Liste der abhängigen FQDNs (größtenteils Azure Storage und Azure Service Bus) zur Konfiguration Ihres virtuellen Netzwerkgeräts. Die regionale Liste finden Sie hier. Diese Abhängigkeiten werden vom HDInsight-Ressourcenanbieter (RP) genutzt, um Cluster erfolgreich zu erstellen und zu überwachen/verwalten. Dazu gehören Telemetrie-/Diagnoseprotokolle, Bereitstellungsmetadaten, clusterbezogene Konfigurationen, Skripts usw. Diese Liste der FQDN-Abhängigkeiten könnte sich mit der Veröffentlichung künftiger HDInsight-Updates ändern.
In der folgenden Liste sind nur einige FQDNs aufgeführt, die für das Patchen von Betriebssystemen und Sicherheitspatches oder Zertifikatüberprüfungen während der Erstellung des Clusters und während der Lebensdauer der Clustervorgänge erforderlich sein können:
| FQDNs für Laufzeitabhängigkeiten |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.windows.net:443 |
| login.microsoftonline.com:443 |
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für