Freigeben über

Verwenden der Firewall zum Einschränken des ausgehenden Datenverkehrs mithilfe des Azure-Portals

  • Artikel

Wichtig

Azure HDInsight auf AKS wurde am 31. Januar 2025 eingestellt. Erfahren Sie mehr in dieser Ankündigung.

Sie müssen Ihre Workloads zu Microsoft Fabric oder ein gleichwertiges Azure-Produkt migrieren, um eine abrupte Beendigung Ihrer Workloads zu vermeiden.

Wichtig

Dieses Feature befindet sich derzeit in der Vorschau. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure Previews weitere rechtliche Bestimmungen enthalten, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht in die allgemeine Verfügbarkeit veröffentlicht werden. Informationen zu dieser spezifischen Vorschau finden Sie unter Azure HDInsight auf AKS-Vorschauinformationen. Für Fragen oder Featurevorschläge senden Sie bitte eine Anfrage auf AskHDInsight mit den Einzelheiten und folgen Sie uns für weitere Updates zur Azure HDInsight Community.

Wenn ein Unternehmen sein eigenes virtuelles Netzwerk für die Clusterbereitstellungen verwenden möchte, wird die Sicherung des Datenverkehrs des virtuellen Netzwerks wichtig. Dieser Artikel enthält die Schritte zum Sichern ausgehenden Datenverkehrs von Ihrem HDInsight auf AKS-Cluster über die Azure-Firewall mithilfe des Azure-Portals.

Das folgende Diagramm veranschaulicht das Beispiel, das in diesem Artikel zum Simulieren eines Unternehmensszenarios verwendet wird:

Diagramm mit dem Netzwerkfluss.

Erstellen eines virtuellen Netzwerks und Subnetze

  1. Erstellen Sie ein virtuelles Netzwerk und zwei Subnetze.

    Richten Sie in diesem Schritt ein virtuelles Netzwerk und zwei Subnetze zum speziellen Konfigurieren des Ausgangs ein.

    Diagramm, in dem das Erstellen eines virtuellen Netzwerks in der Ressourcengruppe mithilfe von Azure-Portalschritt 2 dargestellt wird.

    Diagramm mit dem Erstellen eines virtuellen Netzwerks und festlegen der IP-Adresse mithilfe des Azure-Portals Schritt 3.

    Diagramm mit dem Erstellen eines virtuellen Netzwerks und festlegen der IP-Adresse mithilfe des Azure-Portals in Schritt 4.

    Wichtig

    • Wenn Sie NSG in Subnetz hinzufügen, müssen Sie bestimmte ausgehende und eingehende Regeln manuell hinzufügen. Folgen Sie und verwenden Sie NSG, um den Datenverkehreinzuschränken.
    • Ordnen Sie subnetz-hdiaks-egress-subnet keiner Routentabelle zu, da HDInsight auf AKS einen Clusterpool mit dem standardmäßigen ausgehenden Typ erstellt und den Clusterpool nicht in einem Subnetz erstellen kann, das bereits einer Routentabelle zugeordnet ist.

Erstellen von HDInsight im AKS-Clusterpool mithilfe des Azure-Portals

  1. Erstellen Sie einen Clusterpool.

    Diagramm mit dem Erstellen eines HDInsight im AKS-Clusterpool mithilfe des Azure-Portals in Schritt 5.

    Diagramm, das das Erstellen eines HDInsight auf AKS-Clusterpoolnetzwerken mithilfe von Azure-Portalschritt 6 zeigt.

  2. Wenn HDInsight im AKS-Clusterpool erstellt wird, finden Sie eine Routentabelle in Subnetz-hdiaks-egress-subnet.

    Diagramm, in dem das Erstellen eines HDInsight für AKS-Clusterpoolnetzwerke mithilfe von Azure-Portalschritt 7 dargestellt wird.

Details der AKS-Cluster abrufen, die hinter dem Cluster-Pool erstellt wurden

Sie können ihren Clusterpoolnamen im Portal durchsuchen und zu AKS-Cluster wechseln. Zum Beispiel

Diagramm zum Erstellen eines HDInsight auf einem AKS-Clusterpool Kubernetes-Netzwerk unter Verwendung des Azure-Portals, Schritt 8.

Rufen Sie AKS-API-Serverdetails ab.

Diagramm mit dem Erstellen eines HDInsight auf einem AKS-Clusterpool Kubernetes-Netzwerk mithilfe des Azure-Portals, Schritt 9.

Firewall erstellen

  1. Erstellen Sie eine Firewall mithilfe des Azure-Portals.

    Diagramm mit dem Erstellen einer Firewall mithilfe von Azure-Portal Schritt 10.

  2. Aktivieren Sie den DNS-Proxyserver der Firewall.

    Diagramm mit dem Erstellen einer Firewall und eines DNS-Proxys mithilfe von Azure-Portal Schritt 11.

  3. Nachdem die Firewall erstellt wurde, suchen Sie die interne IP- und öffentliche IP-Adresse der Firewall.

    Diagramm, das die Erstellung einer internen und öffentlichen Firewall- und DNS-Proxy-IP mithilfe des Azure-Portals in Schritt 12 zeigt.

Hinzufügen von Netzwerk- und Anwendungsregeln zur Firewall

  1. Erstellen Sie die Netzwerkregelsammlung mit folgenden Regeln.

    Diagramm, das das Hinzufügen von Firewallregeln mithilfe von Azure-Portalschritt 13 zeigt.

  2. Erstellen Sie die Anwendungsregelsammlung mit folgenden Regeln.

    Diagramm mit dem Hinzufügen von Firewallregeln mithilfe von Azure-Portal Schritt 14.

Erstellen einer Route in der Routentabelle zum Umleiten des Datenverkehrs an die Firewall

Fügen Sie neue Routen zur Routetabelle hinzu, um den Datenverkehr an die Firewall umzuleiten.

Diagramm mit dem Hinzufügen von Routentabelleneinträgen mithilfe von Azure-Portal Schritt 15.

Diagramm, das zeigt, wie Routentabelleneinträge mithilfe von Azure-Portal Schritt 15 hinzugefügt werden.

Cluster erstellen

In den vorherigen Schritten haben wir den Datenverkehr an die Firewall weitergeleitet.

Die folgenden Schritte enthalten Details zu den spezifischen Netzwerk- und Anwendungsregeln, die für jeden Clustertyp erforderlich sind. Sie können die Clustererstellungsseiten zur Unterstützung beim Erstellen von Apache Flink, Trinound Apache Spark Clustern basierend auf Ihrem Bedarf verwenden.

Wichtig

Bevor Sie den Cluster erstellen, müssen Sie die folgenden clusterspezifischen Regeln hinzufügen, um den Datenverkehr zuzulassen.

Trino

  1. Fügen Sie die folgenden Regeln zur Anwendungsregelsammlung aksfwarhinzu.

    Diagramm mit dem Hinzufügen von Anwendungsregeln für Trino Cluster mit Azure-Portal Schritt 16.

  2. Fügen Sie die folgende Regel zur Netzwerkregelsammlung aksfwnrhinzu.

    Diagramm, das zeigt, wie Anwendungsregeln zur Netzwerkregelsammlung für Trino Cluster mit Azure-Portal Schritt 16 hinzugefügt werden.

    Anmerkung

    Ändern Sie für Ihre Region die Sql.<Region> entsprechend Ihrer Bedürfnisse. Beispiel: Sql.WestEurope

  1. Fügen Sie die folgende Regel zur Anwendungsregelsammlung aksfwarhinzu.

    Diagramm mit dem Hinzufügen von Anwendungsregeln für Apache Flink Cluster mit Azure-Portal Schritt 17.

Apache Spark

  1. Fügen Sie die folgenden Regeln zur Anwendungsregelsammlung aksfwarhinzu.

    Diagramm mit dem Hinzufügen von Anwendungsregeln für Apache Flink Cluster mithilfe von Azure-Portal Schritt 18.

  2. Fügen Sie die folgenden Regeln zur Netzwerkregelsammlung aksfwnrhinzu.

    Diagramm, das zeigt, wie Anwendungsregeln für Apache Flink Cluster mit Azure-Portal Schritt 18 hinzugefügt werden.

    Anmerkung

    1. Ändern Sie die Sql.<Region> entsprechend Ihrer Anforderung in Ihre Region. Beispiel: Sql.WestEurope
    2. Ändern Sie die Storage.<Region> auf Ihre Region nach Bedarf. Beispiel: Storage.WestEurope

Beheben eines symmetrischen Routingproblems

Die folgenden Schritte ermöglichen es uns, einen Lastenausgleichsdienst für jedes Cluster einzeln anzufordern und sicherzustellen, dass der Antwortdatenverkehr im Netzwerk nicht über die Firewall fließt.

Fügen Sie der Routentabelle eine Route hinzu, um den Antwortdatenverkehr an Ihre Client-IP in das Internet umzuleiten, und dann können Sie den Cluster direkt erreichen.

Diagramm, das zeigt, wie symmetrisches Routingproblem beim Hinzufügen eines Routentabelleneintrags in Schritt 19 behoben wird.

Wenn Sie den Cluster nicht erreichen können und NSG konfiguriert haben, folgen Sie , um mit NSG den Datenverkehr einzuschränken, und, um den Datenverkehr zuzulassen.

Tipp

Wenn Sie mehr Datenverkehr zulassen möchten, können Sie ihn über die Firewall konfigurieren.

So debuggen Sie

Wenn Sie feststellen, dass der Cluster unerwartet funktioniert, können Sie die Firewallprotokolle überprüfen, um zu ermitteln, welcher Datenverkehr blockiert ist.