HDInsight の管理 IP アドレス
この記事では、Azure HDInsight の正常性サービスと管理サービスで使用される IP アドレスの一覧を示します。 ネットワーク セキュリティ グループ (NSG) またはユーザー定義ルート (UDR) を使用する場合、受信ネットワーク トラフィックの許可リストにこれらの IP アドレスの一部を追加することが必要になる場合があります。
はじめに
重要
ほとんどの場合で、IP アドレスを手動で追加する代わりに、ネットワーク セキュリティ グループにサービス タグを使用できるようになりました。 新しい Azure リージョンの IP アドレスは発行されず、これらは発行されたサービス タグのみを持ちます。 管理 IP アドレス用の静的 IP アドレスは、最終的には非推奨となります。
ネットワーク セキュリティ グループ (NSG) またはユーザー定義ルート (UDR) を使用して HDInsight クラスターへの受信トラフィックを制御する場合は、クラスターが Azure の重要な正常性サービスと管理サービスと通信できるようにする必要があります。 これらのサービスで使用される IP アドレスは、一部がリージョン固有であり、一部がすべての Azure リージョンに適用されます。 カスタム DNS を使用していない場合は、必要に応じて Azure DNS サービスからのトラフィックも許可します。
ここに記載されていないリージョンの IP アドレスが必要な場合は、 Service Tag Discovery API を使用して、お客様のリージョンの IP アドレスを見つけることができます。 この API を使用できない場合は、サービス タグの JSON ファイルをダウンロードし、目的のリージョンを検索します。
HDInsight では、クラスターの作成とスケーリングに関するこれらの規則の検証を行い、さらにエラーが発生しないようにします。 検証が成功しなかった場合、作成とスケーリングは失敗します。
次のセクションでは、許可する必要がある特定の IP アドレスについて説明します。
Azure DNS サービス
Azure で提供される DNS サービスを使用している場合は、TCP と UDP の両方に対して、ポート 53 上の 168.63.129.16 へのアクセスを許可します。 詳細については、「Name resolution for VMs and Role instances (VM とロール インスタンスの名前解決)」をご覧ください。 カスタムの DNS を使用している場合は、この手順をスキップします。
正常性サービスと管理サービス:すべてのリージョン
すべての Azure リージョンに適用される Azure HDInsight の正常性サービスと管理サービスに対して、次の IP アドレスからのトラフィックを許可します。
| 送信元 IP アドレス | 宛先 | Direction |
|---|---|---|
| 168.61.49.99 | *:443 | 受信 |
| 23.99.5.239 | *:443 | 受信 |
| 168.61.48.131 | *:443 | 受信 |
| 138.91.141.162 | *:443 | 受信 |
正常性サービスと管理サービス:特定のリージョン
リソースが配置されている特定の Azure リージョンで、Azure HDInsight の正常性サービスと管理サービス用に記載されている IP アドレスからのトラフィックを許可します。次のメモを参照してください。
重要
ネットワーク セキュリティ グループに対して、サービス タグ機能を使用することをお勧めします。 リージョン固有のサービス タグが必要な場合は、「Azure IP 範囲とサービス タグ - パブリック クラウド」を参照してください
Azure Government に使用する IP アドレスについては、「Azure Government Intelligence + Analytics (Azure Government のインテリジェンスと分析)」をご覧ください。
詳細については、ネットワーク トラフィックのコントロールに関する記事を参照してください。
ユーザー定義ルート (UDR) を使用する場合は、次ホップが "インターネット" に設定されている上記 IP へのルートを指定し、仮想ネットワークからそれらの IP への送信トラフィックを許可してください。