Šifrování IPsec při přenosu pro Azure HDInsight
Tento článek popisuje implementaci šifrování při přenosu pro komunikaci mezi uzly clusteru Azure HDInsight.
Pozadí
Azure HDInsight nabízí celou řadu funkcí zabezpečení pro zabezpečení podnikových dat. Tato řešení se seskupují do pilířů zabezpečení hraniční sítě, ověřování, autorizace, auditování, šifrování a dodržování předpisů. Šifrování se dá použít na neaktivní uložená i přenášená data.
Šifrování neaktivních uložených dat se vztahuje na šifrování na straně serveru v účtech úložiště Azure a také šifrování disků na virtuálních počítačích Azure, které jsou součástí clusteru HDInsight.
Šifrování přenášených dat ve službě HDInsight se dosahuje pomocí protokolu TLS (Transport Layer Security) pro přístup k branám clusteru a protokolu IPsec (Internet Protocol Security) mezi uzly clusteru. Protokol IPsec je možné volitelně povolit mezi všemi hlavními uzly, pracovními uzly, hraničními uzly, uzly zookeeper a zprostředkovatelskými uzly brány a ID.
Povolení šifrování během přenosu
portál Azure
Pokud chcete vytvořit nový cluster s povoleným šifrováním při přenosu pomocí webu Azure Portal, postupujte následovně:
Zahajte normální proces vytváření clusteru. Postup vytvoření počátečního clusteru najdete v tématu Vytváření clusterů založených na Linuxu ve službě HDInsight pomocí webu Azure Portal .
Vyplňte karty Základy a Úložiště. Přejděte na kartu Zabezpečení a sítě .
Na kartě Zabezpečení a sítě zaškrtněte políčko Povolit šifrování během přenosu.
Vytvoření clusteru s povoleným šifrováním prostřednictvím Azure CLI
Šifrování během přenosu je povoleno pomocí isEncryptionInTransitEnabled vlastnosti.
Můžete si stáhnout ukázkovou šablonu a soubor parametrů. Před použitím šablony a fragmentu kódu Azure CLI níže nahraďte následující zástupné symboly správnými hodnotami:
| Zástupný symbol | Popis |
|---|---|
<SUBSCRIPTION_ID> |
ID předplatného Azure |
<RESOURCE_GROUP> |
Skupina prostředků, ve které chcete vytvořit nový cluster a účet úložiště. |
<STORAGEACCOUNTNAME> |
Existující účet úložiště, který se má použít s clusterem. Název by měl být ve formuláři. ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
Název clusteru HDInsight. |
<PASSWORD> |
Zvolené heslo pro přihlášení ke clusteru pomocí SSH a řídicího panelu Ambari. |
<VNET_NAME> |
Virtuální síť, do které se cluster nasadí. |
Následující fragment kódu provede následující počáteční kroky:
- Přihlaste se ke svému účtu Azure.
- Nastaví aktivní předplatné, ve kterém se budou provádět operace vytváření.
- Vytvoří novou skupinu prostředků pro nové aktivity nasazení.
- Nasaďte šablonu pro vytvoření nového clusteru.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json