Utiliser un pare-feu pour restreindre le trafic sortant à l'aide du Portail Microsoft Azure
Remarque
Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.
Seul le support de base est disponible jusqu’à la date de mise hors service.
Important
Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.
Lorsqu'une entreprise souhaite utiliser son propre réseau virtuel pour les déploiements de clusters, la sécurisation du trafic du réseau virtuel devient importante. Cet article fournit les étapes pour sécuriser le trafic sortant de votre cluster HDInsight sur AKS via le Pare-feu Azure à l'aide du Portail Microsoft Azure.
Le diagramme suivant illustre l'exemple utilisé dans cet article pour simuler un scénario d'entreprise :
Créer un réseau virtuel et des sous-réseaux
Créez un réseau virtuel et deux sous-réseaux.
Au cours de cette étape, configurez un réseau virtuel et deux sous-réseaux pour configurer spécifiquement la sortie.
Important
- Si vous ajoutez NSG dans le sous-réseau , vous devez ajouter manuellement certaines règles sortantes et entrantes. Suivez l'utilisation de NSG pour restreindre le trafic.
- N'associez pas de sous-réseau
hdiaks-egress-subnet
à une table de routage, car HDInsight sur AKS crée un pool de clusters avec un type sortant par défaut et ne peut pas créer le pool de clusters dans un sous-réseau déjà associé à une table de routage.
Créer HDInsight sur le pool de clusters AKS à l'aide du Portail Microsoft Azure
Créez un pool de clusters.
Lorsque HDInsight sur le pool de clusters AKS est créé, vous pouvez trouver une table de routage dans le sous-réseau
hdiaks-egress-subnet
.
Obtenez les détails du cluster AKS créé derrière le pool de clusters
Vous pouvez rechercher le nom de votre pool de clusters dans le portail et accéder au cluster AKS. Par exemple,
Obtenez les détails du serveur API AKS.
Créer un pare-feu
Créez un pare-feu à l'aide du Portail Microsoft Azure.
Activez le serveur proxy DNS du pare-feu.
Une fois le pare-feu créé, recherchez l’IP interne et l’IP publique du pare-feu.
Ajouter des règles réseau et applicatives au pare-feu
Créez la collection de règles réseau avec les règles suivantes.
Créez la collection de règles d'application avec les règles suivantes.
Créer une route dans la table de routage pour rediriger le trafic vers le pare-feu
Ajoutez de nouvelles routes à la table de routage pour rediriger le trafic vers le pare-feu.
Créer un cluster
Dans les étapes précédentes, nous avons acheminé le trafic vers le pare-feu.
Les étapes suivantes fournissent des détails sur les règles de réseau et d'application spécifiques requises par chaque type de cluster. Vous pouvez vous référer aux pages de création de cluster pour créer des clusters Apache Flink, Trino et Apache Spark en fonction de vos besoins.
Important
Avant de créer le cluster, assurez-vous d'ajouter les règles spécifiques au cluster suivantes pour autoriser le trafic.
Trino
Ajoutez les règles suivantes à la collection de règles d'application
aksfwar
.Ajoutez la règle suivante à la collection de règles réseau
aksfwnr
.Remarque
Modifiez le
Sql.<Region>
en fonction de votre région selon vos besoins. Par exemple :Sql.WestEurope
Apache Flink
Apache Spark
Ajoutez les règles suivantes à la collection de règles d'application
aksfwar
.Ajoutez les règles suivantes à la collection de règles réseau
aksfwnr
.Remarque
- Modifiez le
Sql.<Region>
en fonction de votre région selon vos besoins. Par exemple :Sql.WestEurope
- Modifiez le
Storage.<Region>
en fonction de votre région selon vos besoins. Par exemple :Storage.WestEurope
- Modifiez le
Résoudre le problème de routage symétrique
Les étapes suivantes nous permettent de demander le service d'entrée de l'équilibreur de charge cluster par cluster et de garantir que le trafic de réponse réseau ne circule pas vers le pare-feu.
Ajoutez une route à la table de routage pour rediriger le trafic de réponse vers l'adresse IP de votre client vers Internet, puis vous pourrez accéder directement au cluster.
Si vous ne parvenez pas à atteindre le cluster et que vous avez configuré NSG, suivez Utiliser NSG pour restreindre le trafic afin d'autoriser le trafic.
Conseil
Si vous souhaitez autoriser plus de trafic, vous pouvez le configurer via le pare-feu.
Comment déboguer
Si vous constatez que le cluster fonctionne de manière inattendue, vous pouvez consulter les journaux du pare-feu pour déterminer quel trafic est bloqué.