Udostępnij za pośrednictwem


Adresy IP zarządzania usługą HDInsight

W tym artykule wymieniono adresy IP używane przez usługi kondycji i zarządzania w usłudze Azure HDInsight. Jeśli używasz sieciowych grup zabezpieczeń lub tras zdefiniowanych przez użytkownika (UDR), może być konieczne dodanie niektórych z tych adresów IP do listy dozwolonych dla ruchu przychodzącego sieci.

Wprowadzenie

Ważne

W większości przypadków można teraz używać tagów usługi dla sieciowych grup zabezpieczeń zamiast ręcznie dodawać adresy IP. Adresy IP nie zostaną opublikowane dla nowych regionów platformy Azure i będą miały tylko opublikowane tagi usługi. Statyczne adresy IP dla adresów IP zarządzania zostaną ostatecznie przestarzałe.

Jeśli do kontrolowania ruchu przychodzącego do klastra usługi HDInsight używasz sieciowych grup zabezpieczeń (NSG) lub tras zdefiniowanych przez użytkownika, musisz upewnić się, że klaster może komunikować się z krytycznymi usługami kondycji i zarządzania platformy Azure. Niektóre adresy IP tych usług są specyficzne dla regionów, a niektóre z nich dotyczą wszystkich regionów świadczenia usługi Azure. Może być również konieczne zezwolenie na ruch z usługi Azure DNS, jeśli nie jest używany niestandardowy serwer DNS.

Jeśli potrzebujesz adresów IP dla regionu, którego nie ma na liście, możesz użyć interfejsu API odnajdywania tagów usługi, aby znaleźć adresy IP dla regionu. Jeśli nie możesz użyć interfejsu API, pobierz plik JSON tagu usługi i wyszukaj żądany region.

Usługa HDInsight sprawdza poprawność tych reguł przy użyciu tworzenia i skalowania klastra, aby zapobiec dalszym błędom. Jeśli walidacja nie zostanie przekazana, tworzenie i skalowanie nie powiedzie się.

W poniższych sekcjach omówiono konkretne adresy IP, które muszą być dozwolone.

Usługa Azure DNS

Jeśli używasz usługi DNS dostępnej na platformie Azure, zezwól na dostęp do adresu 168.63.129.16 na porcie 53 dla protokołu TCP i UDP. Aby uzyskać więcej informacji, zobacz dokument Rozpoznawanie nazw dla maszyn wirtualnych i wystąpień ról. Jeśli używasz niestandardowego systemu DNS, pomiń ten krok.

Usługi kondycji i zarządzania: wszystkie regiony

Zezwalaj na ruch z następujących adresów IP dla usług kondycji i zarządzania usługi Azure HDInsight, które mają zastosowanie do wszystkich regionów świadczenia usługi Azure:

Źródłowy adres IP Element docelowy Kierunek
168.61.49.99 *:443 Przychodzący
23.99.5.239 *:443 Przychodzący
168.61.48.131 *:443 Przychodzący
138.91.141.162 *:443 Przychodzący
52.164.210.96 *:443 Przychodzący
13.74.153.132 *:443 Przychodzący

Usługi kondycji i zarządzania: określone regiony

Zezwalaj na ruch z adresów IP wymienionych dla usług kondycji i zarządzania usługi Azure HDInsight w określonym regionie świadczenia usługi Azure, w którym znajdują się zasoby, zapoznaj się z następującą uwagą:

Ważne

Zalecamy używanie funkcji tagu usługi dla sieciowych grup zabezpieczeń. Jeśli potrzebujesz tagów usługi specyficznych dla regionu, zapoznaj się z tematem Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna

Aby uzyskać informacje na temat adresów IP używanych w usłudze Azure Government, zobacz dokument Azure Government Intelligence + Analytics (Analiza i analiza dla instytucji rządowych Platformy Azure).

Aby uzyskać więcej informacji, zobacz Kontrolowanie ruchu sieciowego.

Jeśli używasz tras zdefiniowanych przez użytkownika (UDR), należy określić trasę i zezwolić na ruch wychodzący z sieci wirtualnej do powyższych adresów IP z następnym przeskokiem ustawionym na "Internet".

Następne kroki