Partager via


Utiliser un pare-feu pour restreindre le trafic sortant à l'aide du Portail Microsoft Azure

Remarque

Nous allons mettre hors service Azure HDInsight sur AKS le 31 janvier 2025. Avant le 31 janvier 2025, vous devrez migrer vos charges de travail vers Microsoft Fabric ou un produit Azure équivalent afin d’éviter leur arrêt brutal. Les clusters restants de votre abonnement seront arrêtés et supprimés de l’hôte.

Seul le support de base est disponible jusqu’à la date de mise hors service.

Important

Cette fonctionnalité est disponible actuellement en mode Aperçu. Les Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure contiennent davantage de conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou ne se trouvant pas encore en disponibilité générale. Pour plus d’informations sur cette préversion spécifique, consultez les Informations sur la préversion d’Azure HDInsight sur AKS. Pour toute question ou pour des suggestions à propos des fonctionnalités, veuillez envoyer vos requêtes et leurs détails sur AskHDInsight, et suivez-nous sur la Communauté Azure HDInsight pour plus de mises à jour.

Lorsqu'une entreprise souhaite utiliser son propre réseau virtuel pour les déploiements de clusters, la sécurisation du trafic du réseau virtuel devient importante. Cet article fournit les étapes pour sécuriser le trafic sortant de votre cluster HDInsight sur AKS via le Pare-feu Azure à l'aide du Portail Microsoft Azure.

Le diagramme suivant illustre l'exemple utilisé dans cet article pour simuler un scénario d'entreprise :

Diagramme montrant le flux du réseau.

Créer un réseau virtuel et des sous-réseaux

  1. Créez un réseau virtuel et deux sous-réseaux.

    Au cours de cette étape, configurez un réseau virtuel et deux sous-réseaux pour configurer spécifiquement la sortie.

    Diagramme montrant la création d’un réseau virtuel dans le groupe de ressources à l’aide du numéro 2 du portail Azure.

    Diagramme montrant la création d’un réseau virtuel et la définition d’une adresse IP à l’aide de l’étape 3 du portail Azure.

    Diagramme montrant la création d’un réseau virtuel et la définition d’une adresse IP à l’aide du portail Azure à l’étape numéro quatre.

    Important

    • Si vous ajoutez NSG dans le sous-réseau , vous devez ajouter manuellement certaines règles sortantes et entrantes. Suivez l'utilisation de NSG pour restreindre le trafic.
    • N'associez pas de sous-réseau hdiaks-egress-subnet à une table de routage, car HDInsight sur AKS crée un pool de clusters avec un type sortant par défaut et ne peut pas créer le pool de clusters dans un sous-réseau déjà associé à une table de routage.

Créer HDInsight sur le pool de clusters AKS à l'aide du Portail Microsoft Azure

  1. Créez un pool de clusters.

    Diagramme montrant la création d’un pool de clusters HDInsight on AKS à l’aide du portail Azure à l’étape numéro cinq.

    Diagramme montrant la création d’un réseau de pool de clusters HDInsight on AKS à l’aide de l’étape 6 du portail Azure.

  2. Lorsque HDInsight sur le pool de clusters AKS est créé, vous pouvez trouver une table de routage dans le sous-réseau hdiaks-egress-subnet.

    Diagramme montrant la création d’un réseau de pools de clusters HDInsight on AKS à l’aide de l’étape 7 du portail Azure.

Obtenez les détails du cluster AKS créé derrière le pool de clusters

Vous pouvez rechercher le nom de votre pool de clusters dans le portail et accéder au cluster AKS. Par exemple,

Diagramme montrant la création d’un cluster HDInsight on AKS pool kubernetes networking à l’aide du portail Azure étape 8.

Obtenez les détails du serveur API AKS.

Diagramme montrant la création d’un cluster HDInsight on AKS pool kubernetes networking à l’aide du portail Azure étape 9.

Créer un pare-feu

  1. Créez un pare-feu à l'aide du Portail Microsoft Azure.

    Diagramme montrant la création d’un pare-feu à l’aide de l’étape 10 du portail Azure.

  2. Activez le serveur proxy DNS du pare-feu.

    Diagramme montrant la création d’un pare-feu et d’un proxy DNS à l’aide de l’étape 11 du portail Azure.

  3. Une fois le pare-feu créé, recherchez l’IP interne et l’IP publique du pare-feu.

    Diagramme montrant la création d’un pare-feu et d’un proxy DNS IP interne et public à l’aide de l’étape 12 du portail Azure.

Ajouter des règles réseau et applicatives au pare-feu

  1. Créez la collection de règles réseau avec les règles suivantes.

    Diagramme montrant l’ajout de règles de pare-feu à l’aide de l’étape 13 du portail Azure.

  2. Créez la collection de règles d'application avec les règles suivantes.

    Diagramme montrant l’ajout de règles de pare-feu à l’aide de l’étape 14 du portail Azure.

Créer une route dans la table de routage pour rediriger le trafic vers le pare-feu

Ajoutez de nouvelles routes à la table de routage pour rediriger le trafic vers le pare-feu.

Diagramme montrant l’ajout d’entrées de table de routage à l’aide de l’étape 15 du portail Azure.

Diagramme montrant comment ajouter des entrées de table de routage à l’aide de l’étape 15 du portail Azure.

Créer un cluster

Dans les étapes précédentes, nous avons acheminé le trafic vers le pare-feu.

Les étapes suivantes fournissent des détails sur les règles de réseau et d'application spécifiques requises par chaque type de cluster. Vous pouvez vous référer aux pages de création de cluster pour créer des clusters Apache Flink, Trino et Apache Spark en fonction de vos besoins.

Important

Avant de créer le cluster, assurez-vous d'ajouter les règles spécifiques au cluster suivantes pour autoriser le trafic.

Trino

  1. Ajoutez les règles suivantes à la collection de règles d'application aksfwar.

    Diagramme montrant l’ajout de règles d’application pour Trino Cluster à l’aide de l’étape 16 du portail Azure.

  2. Ajoutez la règle suivante à la collection de règles réseau aksfwnr.

    Diagramme montrant comment ajouter des règles d’application à la collection de règles de réseau pour Trino Cluster en utilisant l’étape 16 du portail Azure.

    Remarque

    Modifiez le Sql.<Region> en fonction de votre région selon vos besoins. Par exemple : Sql.WestEurope

  1. Ajoutez la règle suivante à la collection de règles d'application aksfwar.

    Diagramme montrant l’ajout de règles d’application pour Apache Flink Cluster à l’aide de l’étape 17 du portail Azure.

Apache Spark

  1. Ajoutez les règles suivantes à la collection de règles d'application aksfwar.

    Diagramme montrant l’ajout de règles d’application pour Apache Flink Cluster à l’aide de l’étape 18 du portail Azure.

  2. Ajoutez les règles suivantes à la collection de règles réseau aksfwnr.

    Diagramme montrant comment ajouter des règles d’application pour Apache Flink Cluster en utilisant l’étape 18 du portail Azure.

    Remarque

    1. Modifiez le Sql.<Region> en fonction de votre région selon vos besoins. Par exemple : Sql.WestEurope
    2. Modifiez le Storage.<Region> en fonction de votre région selon vos besoins. Par exemple : Storage.WestEurope

Résoudre le problème de routage symétrique

Les étapes suivantes nous permettent de demander le service d'entrée de l'équilibreur de charge cluster par cluster et de garantir que le trafic de réponse réseau ne circule pas vers le pare-feu.

Ajoutez une route à la table de routage pour rediriger le trafic de réponse vers l'adresse IP de votre client vers Internet, puis vous pourrez accéder directement au cluster.

Diagramme montrant comment résoudre le problème de routage symétrique en ajoutant une entrée dans la table de routage à l’étape 19.

Si vous ne parvenez pas à atteindre le cluster et que vous avez configuré NSG, suivez Utiliser NSG pour restreindre le trafic afin d'autoriser le trafic.

Conseil

Si vous souhaitez autoriser plus de trafic, vous pouvez le configurer via le pare-feu.

Comment déboguer

Si vous constatez que le cluster fonctionne de manière inattendue, vous pouvez consulter les journaux du pare-feu pour déterminer quel trafic est bloqué.