Freigeben über

Verwenden einer Firewall zum Einschränken des ausgehenden Datenverkehrs über das Azure-Portal

  • Artikel

Hinweis

Azure HDInsight on AKS wird am 31. Januar 2025 eingestellt. Vor dem 31. Januar 2025 müssen Sie Ihre Workloads zu Microsoft Fabric oder einem gleichwertigen Azure-Produkt migrieren, um eine abruptes Beendigung Ihrer Workloads zu vermeiden. Die verbleibenden Cluster in Ihrem Abonnement werden beendet und vom Host entfernt.

Bis zum Einstellungsdatum ist nur grundlegende Unterstützung verfügbar.

Wichtig

Diese Funktion steht derzeit als Vorschau zur Verfügung. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure-Vorschauen enthalten weitere rechtliche Bestimmungen, die für Azure-Features in Betaversionen, in Vorschauversionen oder anderen Versionen gelten, die noch nicht allgemein verfügbar gemacht wurden. Informationen zu dieser spezifischen Vorschau finden Sie unter Informationen zur Vorschau von Azure HDInsight on AKS. Bei Fragen oder Funktionsvorschlägen senden Sie eine Anfrage an AskHDInsight mit den entsprechenden Details, und folgen Sie uns für weitere Updates in der Azure HDInsight-Community.

Wenn ein Unternehmen sein eigenes virtuelles Netzwerk für die Clusterbereitstellungen verwenden möchte, gewinnt der Schutz des Datenverkehrs im virtuellen Netzwerk an Bedeutung. In diesem Artikel werden die Schritte beschrieben, mit denen Sie aus Ihrem HDInsight on AKS-Cluster ausgehenden Datenverkehr über Azure Firewall mithilfe des Azure-Portals schützen.

Das folgende Diagramm veranschaulicht das Beispiel, das in diesem Artikel zum Simulieren eines Unternehmensszenarios verwendet wird:

Diagramm: Netzwerkflow

Erstellen eines virtuellen Netzwerks und der Subnetze

  1. Erstellen Sie ein virtuelles Netzwerk und zwei Subnetze.

    In diesem Schritt richten Sie ein virtuelles Netzwerk und zwei Subnetze, um speziell den ausgehenden Datenverkehr zu konfigurieren.

    Diagramm: Erstellen eines virtuellen Netzwerks in der Ressourcengruppe im Azure-Portal (Schritt 2)

    Diagramm: Erstellen eines virtuellen Netzwerks und Festlegen der IP-Adresse im Azure-Portal (Schritt 3)

    Diagramm: Erstellen eines virtuellen Netzwerks und Festlegen der IP-Adresse im Azure-Portal (Schritt 4)

    Wichtig

    • Wenn Sie NSG im Subnetz hinzufügen, müssen Sie bestimmte Eingangs- und Ausgangsregeln manuell hinzufügen. Halten Sie sich an die Anweisungen unter Verwenden von NSG zum Einschränken des Datenverkehrs.
    • Ordnen Sie das Subnetz hdiaks-egress-subnet keiner Routingtabelle zu, da HDInsight on AKS einen Clusterpool mit dem standardmäßigen ausgehenden Typ erstellt und den Clusterpool nicht in einem Subnetz erstellen kann, das bereits einer Routingtabelle zugeordnet ist.

Erstellen eines HDInsight on AKS-Clusterpools mithilfe des Azure-Portals

  1. Erstellen Sie einen Clusterpool.

    Diagramm: Erstellen eines HDInsight on AKS-Clusterpools im Azure-Portal (Schritt 5)

    Diagramm: Erstellen eines Netzwerks für den HDInsight on AKS-Clusterpool im Azure-Portal (Schritt 6)

  2. Wenn der HDInsight on AKS-Clusterpool erstellt wird, sehen Sie eine Routingtabelle im Subnetz hdiaks-egress-subnet.

    Diagramm: Erstellen eines Netzwerks für den HDInsight on AKS-Clusterpool im Azure-Portal (Schritt 7)

Abrufen von AKS-Clusterdetails, die hinter dem Clusterpool erstellt wurden

Sie können den Clusterpoolnamen im Portal suchen und zum AKS-Cluster navigieren. Beispiel:

Diagramm: Erstellen eines Kubernetes-Netzwerks für den HDInsight on AKS-Clusterpool im Azure-Portal (Schritt 8)

Rufen Sie AKS-API-Serverdetails ab.

Diagramm: Erstellen eines Kubernetes-Netzwerks für den HDInsight on AKS-Clusterpoolnetzwerks im Azure-Portal (Schritt 9)

Erstellen einer Firewall

  1. Erstellen Sie eine Firewall über das Azure-Portal.

    Diagramm: Erstellen einer Firewall im Azure-Portal (Schritt 10)

  2. Aktivieren Sie den DNS-Proxyserver der Firewall.

    Diagramm: Erstellen einer Firewall und eines DNS-Proxys im Azure-Portal (Schritt 11)

  3. Nachdem die Firewall erstellt wurde, suchen Sie die interne IP-Adresse und die öffentliche IP-Adresse der Firewall.

    Diagramm: Erstellen einer internen und öffentlichen IP-Adresse für Firewall und DNS-Proxy im Azure-Portal (Schritt 12)

Hinzufügen von Netzwerk- und Anwendungsregeln zur Firewall

  1. Erstellen Sie die Netzwerkregelsammlung mit den folgenden Regeln:

    Diagramm: Hinzufügen von Firewallregeln im Azure-Portal (Schritt 13)

  2. Erstellen Sie die Anwendungsregelsammlung mit den folgenden Regeln:

    Diagramm: Hinzufügen von Firewallregeln im Azure-Portal (Schritt 14)

Erstellen einer Route in der Routingtabelle zum Umleiten des Datenverkehrs an die Firewall

Fügen Sie der Routingtabelle neue Routen zum Umleiten des Datenverkehrs an die Firewall hinzu.

Diagramm: Hinzufügen von Routingtabelleneinträgen im Azure-Portal (Schritt 15)

Diagramm: Hinzufügen von Routingtabelleneinträgen im Azure-Portal (Schritt 15)

Cluster erstellen

In den vorherigen Schritten haben wir den Datenverkehr an die Firewall geleitet.

Die folgenden Schritte enthalten Details zu den spezifischen Netzwerk- und Anwendungsregeln, die für die einzelnen Clustertypen erforderlich sind. Sie können auf den Seiten zur Clustererstellung nachlesen, wie Sie je nach Bedarf Apache Flink-, Trino- und Apache Spark-Cluster erstellen.

Wichtig

Bevor Sie den Cluster erstellen, müssen Sie die folgenden clusterspezifischen Regeln hinzufügen, um den Datenverkehr zuzulassen.

Trino

  1. Fügen Sie der Anwendungsregelsammlung aksfwar die folgenden Regeln hinzu:

    Diagramm: Hinzufügen von Anwendungsregeln für Trino-Cluster im Azure-Portal (Schritt 16)

  2. Fügen Sie der Netzwerkregelsammlung aksfwnr die folgende Regel hinzu:

    Diagramm: Hinzufügen von Anwendungsregeln zur Netzwerkregelsammlung für Trino-Cluster im Azure-Portal (Schritt 16)

    Hinweis

    Ändern Sie Sql.<Region> entsprechend Ihrer Anforderung in Ihre Region. Beispiel: Sql.WestEurope

  1. Fügen Sie der Anwendungsregelsammlung aksfwar die folgende Regel hinzu:

    Diagramm: Hinzufügen von Anwendungsregeln für Apache Flink-Cluster im Azure-Portal (Schritt 17)

Apache Spark

  1. Fügen Sie der Anwendungsregelsammlung aksfwar die folgenden Regeln hinzu:

    Diagramm: Hinzufügen von Anwendungsregeln für Apache Flink-Cluster im Azure-Portal (Schritt 18)

  2. Fügen Sie der Netzwerkregelsammlung aksfwnr die folgenden Regeln hinzu:

    Diagramm: Hinzufügen von Anwendungsregeln für Apache Flink-Cluster im Azure-Portal (Schritt 18)

    Hinweis

    1. Ändern Sie Sql.<Region> entsprechend Ihrer Anforderung in Ihre Region. Beispiel: Sql.WestEurope
    2. Ändern Sie Storage.<Region> entsprechend Ihrer Anforderung in Ihre Region. Beispiel: Storage.WestEurope

Beheben eines Problems beim symmetrischen Routing

Die folgende Vorgehensweise ermöglicht es, einen clusterspezifischen Lastenausgleichsdienst für eingehenden Datenverkehr anzufordern und so sicherzustellen, dass der Datenverkehr der Netzwerkantwort nicht an die Firewall geleitet wird.

Fügen Sie der Routingtabelle eine Route hinzu, um den Antwortdatenverkehr an Ihre Client-IP-Adresse an das Internet umzuleiten. Anschließend können Sie den Cluster direkt erreichen.

Diagramm: Beheben eines Problems beim symmetrischen Routing beim Hinzufügen eines Routingtabelleneintrags in Schritt 19

Wenn Sie den Cluster nicht erreichen und NSG konfiguriert haben, führen Sie die Schritte zum Einschränken des Datenverkehrs mithilfe von NSG aus, um den Datenverkehr zuzulassen.

Tipp

Wenn Sie mehr Datenverkehr zulassen möchten, können Sie ihn über die Firewall konfigurieren.

Debuggen

Wenn Sie eine unerwartete Funktionsweise des Clusters feststellen, können Sie anhand der Firewallprotokolle ermitteln, welcher Datenverkehr blockiert ist.