Compartir a través de

Uso del firewall para restringir el tráfico saliente mediante Azure Portal

  • Artículo

Nota:

Retiraremos Azure HDInsight en AKS el 31 de enero de 2025. Antes del 31 de enero de 2025, deberá migrar las cargas de trabajo a Microsoft Fabric o un producto equivalente de Azure para evitar la terminación repentina de las cargas de trabajo. Los clústeres restantes de la suscripción se detendrán y quitarán del host.

Solo el soporte técnico básico estará disponible hasta la fecha de retirada.

Importante

Esta funcionalidad actualmente está en su versión preliminar. En Términos de uso complementarios para las versiones preliminares de Microsoft Azure encontrará más términos legales que se aplican a las características de Azure que están en versión beta, en versión preliminar, o que todavía no se han lanzado con disponibilidad general. Para más información sobre esta versión preliminar específica, consulte la Información de Azure HDInsight sobre la versión preliminar de AKS. Para plantear preguntas o sugerencias sobre la característica, envíe una solicitud en AskHDInsight con los detalles y síganos para obtener más actualizaciones sobre Comunidad de Azure HDInsight.

Cuando una empresa quiere usar su propia red virtual para las implementaciones del clúster, la protección del tráfico de la red virtual es importante. En este artículo se proporcionan los pasos para proteger el tráfico saliente desde el clúster de HDInsight en AKS a través de Azure Firewall mediante Azure Portal.

En el diagrama siguiente se muestra el ejemplo usado en este artículo para simular un escenario empresarial:

Diagrama que muestra el flujo de red.

Creación de una red virtual y subredes

  1. Cree una red virtual y dos subredes.

    En este paso, configure una red virtual y dos subredes para configurar específicamente la salida.

    Diagrama que muestra la creación de una red virtual en el grupo de recursos mediante el paso 2 de Azure Portal.

    Diagrama que muestra la creación de una red virtual y la configuración de la dirección IP mediante el paso 3 de Azure Portal.

    Diagrama que muestra la creación de una red virtual y la configuración de la dirección IP mediante el paso 4 de Azure Portal.

    Importante

    • Si agrega NSG en la subred , debe agregar determinadas reglas de entrada y salida manualmente. Siga usar NSG para restringir el tráfico.
    • No asocie la subred hdiaks-egress-subnet a una tabla de rutas porque HDInsight en AKS crea un grupo de clústeres con el tipo de salida predeterminado y no puede crear el grupo de clústeres en una subred ya asociada a una tabla de rutas.

Creación del grupo de clústeres de HDInsight en AKS mediante Azure Portal

  1. Cree un grupo de clústeres.

    Diagrama que muestra la creación de un grupo de clústeres de HDInsight en AKS mediante el paso 5 de Azure Portal.

    Diagrama que muestra la creación de una red de grupo de clústeres de HDInsight en AKS mediante el paso 6 de Azure Portal.

  2. Cuando se crea el grupo de clústeres de HDInsight en AKS, puede encontrar una tabla de rutas en la subred hdiaks-egress-subnet.

    Diagrama que muestra la creación de una red de grupo de clústeres de HDInsight en AKS mediante el paso 7 de Azure Portal.

Obtención de los detalles del clúster de AKS creados detrás del grupo de clústeres

Puede buscar el nombre del grupo de clústeres en el portal y ir al clúster de AKS. Por ejemplo,

Diagrama que muestra la creación de una red de Kubernetes de grupo de clústeres de HDInsight en AKS mediante el paso 8 de Azure Portal.

Obtenga los detalles del servidor de API de AKS.

Diagrama que muestra la creación de una red de Kubernetes de grupo de clústeres de HDInsight en AKS mediante el paso 9 de Azure Portal.

Creación de un firewall

  1. Cree un firewall mediante Azure Portal.

    Diagrama que muestra la creación de un firewall mediante el paso 10 de Azure Portal.

  2. Habilite el servidor proxy DNS del firewall.

    Diagrama que muestra la creación de un firewall y un proxy DNS mediante el paso 11 de Azure Portal.

  3. Una vez creado el firewall, busque la dirección IP interna del firewall y la dirección IP pública.

    Diagrama que muestra la creación de un firewall y un proxy DNS interno y una dirección IP pública mediante el paso 12 de Azure Portal.

Adición de reglas de red y aplicación al firewall

  1. Cree la colección de reglas de red con las siguientes reglas.

    Diagrama que muestra la adición de reglas de firewall mediante el paso 13 de Azure Portal.

  2. Cree el grupo de colecciones de reglas de aplicación.

    Diagrama que muestra la adición de reglas de firewall mediante el paso 14 de Azure Portal.

Cree una ruta en la tabla de rutas para redirigir el tráfico al firewall

Agregue nuevas rutas a la tabla de rutas para redirigir el tráfico al firewall.

Diagrama que muestra la adición de entradas de tabla de ruta mediante el paso 15 de Azure Portal.

Diagrama que muestra el procedimiento de adición de entradas de tabla de ruta mediante el paso 15 de Azure Portal.

Creación de un clúster

En los pasos anteriores, hemos enrutado el tráfico al firewall.

En los pasos siguientes se proporcionan detalles sobre las reglas de aplicación y red específicas necesarias para cada tipo de clúster. Puede consultar las páginas de creación del clúster para crear clústeres de Apache Flink, Trino y Apache Spark en función de sus necesidades.

Importante

Antes de crear el clúster, asegúrese de agregar las siguientes reglas específicas del clúster para permitir el tráfico.

Trino

  1. Agregue las reglas siguientes a la colección de reglas de aplicación aksfwar.

    Diagrama que muestra la adición de reglas de aplicación para clústeres de Trino mediante el paso 16 de Azure Portal.

  2. Agregue la siguiente regla a la colección de reglas de red aksfwnr.

    Diagrama que muestra el procedimiento de adición de reglas de aplicación a la recopilación de reglas de red para clústeres de Trino mediante el paso 16 de Azure Portal.

    Nota:

    Cambie el Sql.<Region> a su región según sus necesidades. Por ejemplo: Sql.WestEurope

  1. Agregue la siguiente regla a la colección de reglas de aplicación aksfwar.

    Diagrama que muestra la adición de reglas de aplicación para clústeres de Apache Flink mediante el paso 17 de Azure Portal.

Spark de Apache

  1. Agregue las reglas siguientes a la colección de reglas de aplicación aksfwar.

    Diagrama que muestra la adición de reglas de aplicación para clústeres de Apache Flink mediante el paso 18 de Azure Portal.

  2. Agregue las siguientes reglas a la colección de reglas de red aksfwnr.

    Diagrama que muestra el procedimiento de adición de reglas de aplicación para clústeres de Apache Flink mediante el paso 18 de Azure Portal.

    Nota:

    1. Cambie el Sql.<Region> a su región según sus necesidades. Por ejemplo: Sql.WestEurope
    2. Cambie el Storage.<Region> a su región según sus necesidades. Por ejemplo: Storage.WestEurope

Solución de problemas de enrutamiento simétrico

Los pasos siguientes nos permiten solicitar el clúster por servicio de entrada del equilibrador de carga del clúster y asegurarse de que el tráfico de respuesta de red no fluye al firewall.

Agregue una ruta a la tabla de rutas para redirigir el tráfico de respuesta a la dirección IP del cliente a Internet y, a continuación, puede acceder directamente al clúster.

Diagrama que muestra el procedimiento de resolución del problema de enrutamiento simétrico con la adición de una entrada de tabla de enrutamiento en el paso 19.

Si no puede acceder al clúster y ha configurado el grupo de seguridad de red, siga usar NSG para restringir el tráfico para permitir el tráfico.

Sugerencia

Si desea permitir más tráfico, puede configurarlo a través del firewall.

Cómo depurar

Si encuentra que el clúster funciona inesperadamente, puede comprobar los registros del firewall para buscar qué tráfico está bloqueado.