Configurer une appliance virtuelle réseau dans Azure HDInsight
Important
Les informations suivantes sont requises uniquement si vous souhaitez configurer une appliance virtuelle réseau (NVA) autre que le Pare-feu Azure.
La balise FQDN du service Pare-feu Azure est automatiquement configurée pour autoriser le trafic dans la plupart des FQDN importants courants. L’utilisation d’un autre dispositif virtuel réseau nécessite la configuration de fonctionnalités supplémentaires. Gardez les facteurs suivants à l’esprit pendant la configuration de votre appliance virtuelle réseau :
- Les services pouvant prendre en charge les points de terminaison de service peuvent être configurés avec des points de terminaison de service, ce qui entraîne le contournement du NVA, généralement pour des considérations de coût ou de performance.
- Si ResourceProviderConnection est défini sur outbound (sortant), vous pouvez utiliser des points de terminaison privés pour le stockage et des serveurs SQL pour les metastores, et il n’est pas nécessaire de les ajouter aux NVA (Appliances virtuelles réseau).
- Les dépendances d’adresses IP sont destinées au trafic non HTTP/S (à la fois le trafic TCP et UDP).
- Les points de terminaison HTTP/HTTPS avec des noms FQDN peuvent être approuvés dans votre dispositif NVA.
- Affectez la table de routage créée à votre sous-réseau HDInsight.
Dépendances compatibles avec les points de terminaison de service
Vous pouvez éventuellement activer un ou plusieurs des points de terminaison de service suivants, ce qui entraîne le contournement de la NVA. Cette option peut être utile pour de grandes quantités de transferts de données afin de réduire les coûts et d’optimiser les performances.
| Point de terminaison |
|---|
| Azure SQL |
| Stockage Azure |
| Microsoft Entra ID |
Dépendances des adresses IP
| Point de terminaison | Détails |
|---|---|
| Adresses IP publiées ici | Ces adresses IP sont destinées au fournisseur de ressources HDInsight et doivent être incluses dans l’UDR pour éviter le routage asymétrique. Cette règle est requise uniquement si ResourceProviderConnection est défini sur Inbound (Entrant). Si ResourceProviderConnection est défini sur Outbound, ces adresses IP ne sont pas nécessaires dans l’UDR. |
| IP privées des services de domaine Microsoft Entra | Uniquement besoin de clusters ESP, si les réseaux virtuels ne sont pas appairés. |
Dépendances HTTP/HTTPS FQDN
Vous pouvez obtenir la liste des noms de domaine complets dépendants (Stockage Azure et Azure Service Bus principalement) pour configurer votre appliance virtuelle réseau dans ce dépôt. Pour la liste régionale, voir ici. Ces dépendances sont utilisées par le fournisseur de ressources (RP) HDInsight pour créer et surveiller/gérer les clusters avec succès. Celles-ci incluent des journaux de télémétrie/diagnostic, des métadonnées de provisionnement, des configurations liées au cluster, des scripts, etc. Cette liste de dépendances de noms de domaine complets peut changer avec la publication des mises à jour futures de HDInsight.
La liste suivante donne quelques noms de domaine complets qui peuvent être nécessaires pour les correctifs de sécurité et le système d'exploitation ou les validations de certificats pendant le processus de création du cluster et pendant la durée de vie des opérations du cluster :
| Dépendances d’exécution FQDN |
|---|
| azure.archive.ubuntu.com:80 |
| security.ubuntu.com:80 |
| ocsp.msocsp.com:80 |
| ocsp.digicert.com:80 |
| microsoft.com/pki/mscorp/cps/default.htm:443 |
| microsoft.com:80 |
| login.windows.net:443 |
| login.microsoftonline.com:443 |