Configuración de una aplicación virtual de red en Azure HDInsight
Importante
La siguiente información solo es necesaria si desea configurar una aplicación virtual de red (NVA) distinta a Azure Firewall.
La etiqueta de FQDN de Azure Firewall está configurada automáticamente para permitir el tráfico para muchos de los FQDN comunes más importantes. El uso de otro dispositivo virtual de red requiere la configuración de características adicionales. Tenga en cuenta los siguientes factores al configurar la aplicación virtual de red:
- Los servicios compatibles con puntos de conexión de servicio se pueden configurar con estos, lo que da lugar a la omisión de la aplicación virtual de red, normalmente por motivos de costo o rendimiento.
- Si ResourceProviderConnection se establece en outbound, puede usar puntos de conexión privados para los servidores de almacenamiento y SQL Server para los metastores y no es necesario agregarlos a NVA.
- Las dependencias de dirección IP son para tráfico que no sea HTTP/HTTPS (tráfico TCP y UDP).
- Los puntos de conexión HTTP/HTTPS de FQDN se pueden aprobar en el dispositivo NVA.
- Asigne la tabla de rutas que creó a la subred de HDInsight.
Dependencias compatibles con los puntos de conexión de servicio
Opcionalmente, puede habilitar uno o más de los siguientes puntos de conexión de servicio, lo que resulta en la omisión de la NVA. Esta opción puede ser útil para grandes cantidades de transferencias de datos con el fin de ahorrar costos y también para optimizar el rendimiento.
| Punto de conexión |
|---|
| Azure SQL |
| Azure Storage |
| Microsoft Entra ID |
Dependencias de dirección IP
| Punto de conexión | Detalles |
|---|---|
| Las direcciones IP se publican aquí | Estas direcciones IP sirven para el proveedor de recursos de HDInsight y deben incluirse en el UDR para evitar el enrutamiento asimétrico. Esta regla solo es necesaria si ResourceProviderConnection está establecido en Inbound. Si ResourceProviderConnection está configurado como Outbound, entonces estas IP no son necesarias en el UDR. |
| IP privadas de servicios de dominio de Microsoft Entra | Solo es necesario para clústeres ESP, si las VNET no son emparejadas. |
Dependencias HTTP/HTTPS de FQDN
Puede obtener la lista de dependencias de FQDN (principalmente de Azure Storage y Azure Service Bus) para configurar la aplicación virtual de red en este repositorio. Para consultar la lista regional, consulte aquí. Estas dependencias las usa el proveedor de recursos (RP) de HDInsight para crear y supervisar o administrar clústeres de manera correcta. Incluyen registros de telemetría y diagnóstico, metadatos de aprovisionamiento, configuraciones relacionadas con el clúster, scripts, etc. Esta lista de dependencias de FQDN podría cambiar con la publicación de futuras actualizaciones de HDInsight.
En la siguiente lista se indican algunos FQDN que pueden ser necesarios para la aplicación de parches de seguridad y del sistema operativo o para la validación de certificados durante el proceso de creación del clúster y durante la vida útil de las operaciones del clúster:
| FQDN de dependencias en tiempo de ejecución |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.windows.net:443 |
| login.microsoftonline.com:443 |