IP-адреса управления HDInsight
В этой статье перечислены IP-адреса, используемые службами работоспособности и управления Azure HDInsight. При использовании групп безопасности сети (NSG) или определяемых пользователем маршрутов может потребоваться добавить некоторые из этих IP-адресов в список разрешений для входящего сетевого трафика.
Введение
Важно!
В большинстве случаев теперь для групп безопасности сети можно использовать теги службы, а не добавлять IP-адреса вручную. IP-адреса не будут публиковаться для новых регионов Azure, и они будут опубликованы только с тегами службы. В конечном итоге статические IP-адреса для адресов управления больше не будут поддерживаться.
Если вы управляете входящим трафиком в кластер HDInsight с помощью групп безопасности сети (NSG) или определяемых пользователем маршрутов (UDR), нужно обеспечить взаимодействие кластера с критически важными службами работоспособности и управления Azure. Некоторые IP-адреса для этих служб зависят от региона, а некоторые из них применяются ко всем регионам Azure. Если у вас нет пользовательской службы DNS, вам, возможно, нужно будет разрешить трафик из службы Azure DNS.
Если вам нужны IP-адреса для региона, который не указан здесь, можно использовать API обнаружения тегов служб для поиска IP-адресов для своего региона. Если вы не можете использовать API, скачайте JSON-файл тега службы и найдите нужный регион.
HDInsight выполняет проверку этих правил с помощью создания и масштабирования кластера, чтобы предотвратить ошибки в дальнейшем. Если проверка не пройдена, создание и масштабирование завершится ошибкой.
В следующих разделах рассматриваются конкретные IP-адреса, которые должны быть разрешены.
Служба Azure DNS
Если вы используете службу DNS, предоставляемую Azure, разрешите доступ к 168.63.129.16 через порт 53 для протоколов TCP и UDP. Дополнительные сведения см. в документе Разрешение имен для виртуальных машин и экземпляров ролей. Если вы используете настраиваемую службу доменных имен (DNS), пропустите этот шаг.
Службы работоспособности и управления: все регионы
Разрешите трафик со следующих IP-адресов для служб работоспособности и управления Azure HDInsight, которые применяются ко всем регионам Azure.
| Исходный IP-адрес | Назначение | Направление |
|---|---|---|
| 168.61.49.99 | *:443 | Входящий трафик |
| 23.99.5.239 | *:443 | Входящий трафик |
| 168.61.48.131 | *:443 | Входящий трафик |
| 138.91.141.162 | *:443 | Входящий трафик |
Службы работоспособности и управления: определенные регионы
Разрешите трафик с IP-адресов, перечисленных для служб работоспособности и управления Azure HDInsight в определенном регионе Azure, где находятся ресурсы. См. следующее примечание.
Важно!
Мы рекомендуем использовать функцию тега службы для групп безопасности сети. Если вам требуются теги службы для конкретного региона, ознакомьтесь с разделами Диапазоны IP-адресов Azure и Теги службы — общедоступное облако.
Сведения об IP-адресах для Azure для государственных организаций см. в документе Аналитика Azure для государственных организаций.
См. статью Управление сетевым трафиком.
Если вы используете определяемые пользователем маршруты (UDR), укажите маршрут и разрешите исходящий трафик из виртуальной сети на указанные выше IP-адреса, указав для следующего прыжка значение "Интернет".