你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure HDInsight 的 NSG 服务标记
网络安全组 (NSG) 的 Azure HDInsight 服务标记是运行状况和管理服务的 IP 地址组。 这些组有助于尽量降低创建安全规则时的复杂性。 服务标记允许来自特定 IP 的入站流量,而无需输入 NSG 中的每个管理 IP 地址。
HDInsight 服务会管理这些服务标记。 你无法创建自己的服务标记,也无法修改现有标记。 Microsoft 会管理与服务标记匹配的地址前缀,并会在地址发生更改时自动更新服务标记。
如果要使用特定区域,并且此页面上尚未记录服务标记,则可以使用服务标记发现 API 查找服务标记。 还可以下载服务标记 JSON 文件并搜索所需区域。
开始使用服务标记
在网络安全组中使用服务标记有两个选项:
使用单个全局 HDInsight 服务标记:此选项会向 HDInsight 服务用来监视所有区域中的群集的所有 IP 地址开放虚拟网络。 此选项是最简单的方法,但如果你有严格的安全要求,它可能不适合。
使用多个区域性服务标记:此选项仅向 HDInsight 在该特定区域中使用的 IP 地址开放虚拟网络。 但是,如果你使用多个区域,则需要向虚拟网络中添加多个服务标记。
使用单个全局 HDInsight 服务标记
开始在 HDInsight 群集中使用服务标记的最简单方法是将全局标记 HDInsight 添加到 NSG 规则。
在 Azure 门户中,选择你的网络安全组。
在“设置”下,依次选择“入站安全规则”、“+ 添加”。
在“源”下拉列表中,选择“服务标记”。
在“源服务标记”下拉列表中,选择“HDInsight”。
此标记包含 HDInsight 可用的所有区域的运行状况和管理服务的 IP 地址。 此标记可确保无论群集创建于何处,群集都可以与必要的运行状况和管理服务通信。
使用区域性 HDInsight 服务标记
如果全局标记选项由于你需要更严格的权限而不可行,则只能允许适用于相应区域的服务标记。 可能有多个服务标记,具体取决于在其中创建群集的区域。
若要了解要为区域添加哪些服务标记,请阅读本文的以下部分。
使用单个区域性服务标记
如果群集位于此表中列出的某个区域中,则只需向 NSG 添加一个区域性服务标记。
| 国家/地区 | 区域 | 服务标记 |
|---|---|---|
| 澳大利亚 | 澳大利亚东部 | HDInsight.AustraliaEast |
| 澳大利亚东南部 | HDInsight.AustraliaSoutheast | |
| 澳大利亚中部 | HDInsight.AustraliaCentral | |
| 亚洲 | 东亚 | HDInsight.EastAsia |
| 东南亚 | HDInsight.SoutheastAsia | |
| 巴西 | 巴西南部 | HDInsight.BrazilSouth |
| 巴西东南部 | HDInsight.BrazilSoutheast | |
| 中国 | 中国东部 2 | HDInsight.ChinaEast2 |
| 中国北部 2 | HDInsight.ChinaNorth2 | |
| 日本 | 日本东部 | HDInsight.JapanEast |
| 日本西部 | HDInsight.JapanWest | |
| 韩国 | 韩国中部 | HDInsight.KoreaCentral |
| 韩国南部 | HDInsight.KoreaSouth | |
| 印度 | 印度中部 | HDInsight.CentralIndia |
| JIO 印度西部 | HDInsight.JioIndiaWest | |
| 印度南部 | HDInsight.SouthIndia | |
| 卡塔尔 | 卡塔尔中部 | HDInsight.QatarCentral |
| 南非 | 南非北部 | HDInsight.SouthAfricaNorth |
| 阿拉伯联合酋长国 | 阿拉伯联合酋长国北部 | HDInsight.UAENorth |
| 阿联酋中部 | HDInsight.UAECentral | |
| 欧洲 | 北欧 | HDInsight.NorthEurope |
| 西欧 | HDInsight.WestEurope | |
| 法国 | 法国中部 | HDInsight.FranceCentral |
| 德国 | 德国中西部 | HDInsight.GermanyWestCentral |
| 德国北部 | HDInsight.GermanyNorth | |
| 挪威 | 挪威东部 | HDInsight.NorwayEast |
| 瑞典 | 瑞典中部 | HDInsight.SwedenCentral |
| 瑞典南部 | HDInsight.SwedenSouth | |
| 瑞士 | 瑞士北部 | HDInsight.SwitzerlandNorth |
| 瑞士西部 | HDInsight.SwitzerlandWest | |
| 英国 | 英国南部 | HDInsight.UKSouth |
| 英国西部 | HDInsight.UKWest | |
| 美国 | 美国中北部 | HDInsight.NorthCentralUS |
| Central US | HDInsight.CentralUS | |
| 美国西部 2 | HDInsight.WestUS2 | |
| 美国西部 3 | HDInsight.WestUS3 | |
| 美国中西部 | HDInsight.WestCentralUS | |
| 加拿大 | 加拿大东部 | HDInsight.CanadaEast |
| 加拿大中部 | HDInsight.CanadaCentral | |
| Azure Government | USDoD 中部 | HDInsight.USDoDCentral |
| US Gov 德克萨斯州 | HDInsight.USGovTexas | |
| UsDoD 东部 | HDInsight.USDoDEast | |
| US Gov 亚利桑那州 | HDInsight.USGovArizona |
使用多个区域性服务标记
如果上表中未列出你创建群集时所在的区域,则需要允许多个区域性服务标记。 需要使用多个是因为不同区域的资源提供程序的安排不同。
其余区域根据它们使用的区域性服务标记划分为各个组。
组 1
如果你的群集是在下表中的某个区域中创建的,则允许服务标记 HDInsight.WestUS 和 HDInsight.EastUS。 此外,还列出了区域服务标记。 本部分中的区域需要三个服务标记。
例如,如果你的群集是在 East US 2 区域中创建的,则需要将以下服务标记添加到网络安全组:
HDInsight.EastUS2HDInsight.WestUSHDInsight.EastUS
| 国家/地区 | 区域 | 服务标记 |
|---|---|---|
| United States | 美国东部 2 | HDInsight.EastUS2 |
| Central US | HDInsight.CentralUS | |
| 美国中北部 | HDInsight. NorthCentralUS | |
| 美国中南部 | HDInsight.SouthCentralUS | |
| 美国东部 | HDInsight.EastUS | |
| 美国西部 | HDInsight.WestUS | |
| 日本 | 日本东部 | HDInsight.JapanEast |
| 欧洲 | 北欧 | HDInsight.NorthEurope |
| 西欧 | HDInsight.WestEurope | |
| 亚洲 | 东亚 | HDInsight.EastAsia |
| 东南亚 | HDInsight.SoutheastAsia | |
| 澳大利亚 | 澳大利亚东部 | HDInsight.AustraliaEast |
组 2
中国北部和中国东部区域中的群集需要允许两个服务标记:HDInsight.ChinaNorth 和 HDInsight.ChinaEast。
组 3
US Gov 爱荷华州和 US Gov 弗吉尼亚州区域中的群集需要允许两个服务标记:HDInsight.USGovIowa 和 HDInsight.USGovVirginia。
组 4
德国中部和德国东北部区域中的群集需要允许两个服务标记:HDInsight.GermanyCentral 和 HDInsight.GermanyNortheast。