Condividi tramite

Usare il firewall per limitare il traffico in uscita tramite il portale di Azure

  • Articolo

Nota

Azure HDInsight su AKS verrà ritirato il 31 gennaio 2025. Prima del 31 gennaio 2025, sarà necessario eseguire la migrazione dei carichi di lavoro a Microsoft Fabric o a un prodotto Azure equivalente per evitare interruzioni improvvise dei carichi di lavoro. I cluster rimanenti nella sottoscrizione verranno arrestati e rimossi dall’host.

Solo il supporto di base sarà disponibile fino alla data di ritiro.

Importante

Questa funzionalità è attualmente disponibile solo in anteprima. Le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale. Per informazioni su questa anteprima specifica, vedere Informazioni sull'anteprima di Azure HDInsight nel servizio Azure Kubernetes. Per domande o suggerimenti sulle funzionalità, inviare una richiesta in AskHDInsight con i dettagli e seguire Microsoft per altri aggiornamenti nella Community di Azure HDInsight.

Quando un'azienda vuole usare la propria rete virtuale per le distribuzioni di cluster, la protezione del traffico della rete virtuale è un aspetto importante. Questo articolo illustra la procedura per proteggere il traffico in uscita dal cluster HDInsight su AKS tramite Firewall di Azure nel portale di Azure.

Il diagramma seguente illustra l'esempio usato in questo articolo per simulare uno scenario aziendale:

Diagramma che mostra il flusso di rete.

Creare una rete virtuale e le subnet

  1. Creare una rete virtuale e due subnet.

    In questo passaggio si configureranno una rete virtuale e due subnet per configurare in modo specifico il traffico in uscita.

    Diagramma che mostra la creazione di una rete virtuale nel gruppo di risorse usando il passaggio 2 del portale di Azure.

    Diagramma che mostra la creazione di una rete virtuale e l'impostazione dell'indirizzo IP usando il passaggio 3 del portale di Azure.

    Diagramma che mostra la creazione di una rete virtuale e l'impostazione dell'indirizzo IP usando il passaggio 4 del portale di Azure.

    Importante

    • Se si aggiunge un gruppo di sicurezza di rete nella subnet, è necessario aggiungere manualmente determinate regole in uscita e in ingresso. Seguire Usare il gruppo di sicurezza di rete per limitare il traffico.
    • Non associare la subnet hdiaks-egress-subnet a una tabella di route perché HDInsight su AKS crea un pool di cluster con tipo in uscita predefinito e non può creare il pool di cluster in una subnet già associata a una tabella di route.

Creare il pool di cluster HDInsight su AKS usando il portale di Azure

  1. Creare un pool di cluster.

    Diagramma che mostra la creazione di un pool di cluster HDInsight su AKS usando il passaggio 5 del portale di Azure.

    Diagramma che mostra la creazione di una rete del pool di cluster HDInsight su AKS con il passaggio 6 del portale di Azure.

  2. Una volta creato il pool di cluster HDInsight su AKS, è possibile trovare una tabella di route nella subnet hdiaks-egress-subnet.

    Diagramma che mostra la creazione di una rete del pool di cluster HDInsight su AKS con il passaggio 7 del portale di Azure.

Ottenere i dettagli del cluster del servizio Azure Kubernetes creato dietro il pool di cluster

È possibile cercare il nome del pool di cluster nel portale e passare al cluster del servizio Azure Kubernetes. ad esempio:

Diagramma che illustra la creazione di una rete Kubernetes del pool di cluster HDInsight su AKS con il passaggio 8 del portale di Azure.

Ottenere i dettagli del server API del servizio Azure Kubernetes.

Diagramma che illustra la creazione di una rete Kubernetes del pool di cluster HDInsight su AKS con il passaggio 9 del portale di Azure.

Creare il firewall

  1. Creare il firewall usando il portale di Azure.

    Diagramma che mostra la creazione di un firewall con il passaggio 10 del portale di Azure.

  2. Abilitare il server proxy DNS del firewall.

    Diagramma che mostra la creazione di un firewall e di un proxy DNS con il passaggio 11 del portale di Azure.

  3. Dopo aver creato il firewall, trovare l'indirizzo IP interno e l'indirizzo IP pubblico del firewall.

    Diagramma che mostra la creazione di un firewall e di un proxy DNS con indirizzo IP pubblico e interno con il passaggio 12 del portale di Azure.

Aggiungere regole di rete e applicazione al firewall

  1. Creare la raccolta di regole di rete con le regole seguenti.

    Diagramma che mostra l'aggiunta di regole del firewall con il passaggio 13 del portale di Azure.

  2. Creare la raccolta di regole dell'applicazione con le regole seguenti.

    Diagramma che mostra l'aggiunta di regole del firewall con il passaggio 14 del portale di Azure.

Creare una route nella tabella di route per reindirizzare il traffico al firewall

Aggiungere nuove route alla tabella di route per reindirizzare il traffico al firewall.

Diagramma che mostra l'aggiunta di voci alla tabella di route con il passaggio 15 del portale di Azure.

Diagramma che mostra come aggiungere voci alla tabella di route con il passaggio 15 del portale di Azure.

Creare cluster

Nei passaggi precedenti è stato instradato il traffico al firewall.

I passaggi seguenti forniscono informazioni dettagliate sulle regole di rete e applicazione specifiche necessarie per ogni tipo di cluster. È possibile consultare le pagine di creazione del cluster per la creazione di cluster Apache Flink, Trino e Apache Spark in base alle esigenze.

Importante

Prima di creare il cluster, assicurarsi di aggiungere le regole specifiche del cluster seguenti per consentire il traffico.

Trino

  1. Aggiungere le regole seguenti alla raccolta di regole dell'applicazione aksfwar.

    Diagramma che mostra l'aggiunta di regole dell'applicazione per il cluster Trino con il passaggio 16 del portale di Azure.

  2. Aggiungere la regola seguente alla raccolta di regole di rete aksfwnr.

    Diagramma che illustra come aggiungere regole dell'applicazione alla raccolta di regole di rete per il cluster Trino con il passaggio 16 del portale di Azure.

    Nota

    Impostare Sql.<Region> sull'area desiderata in base alle esigenze. Ad esempio: Sql.WestEurope

  1. Aggiungere la regola seguente alla raccolta di regole dell'applicazione aksfwar.

    Diagramma che mostra l'aggiunta di regole dell'applicazione per il cluster Apache Flink con il passaggio 17 del portale di Azure.

Apache Spark

  1. Aggiungere le regole seguenti alla raccolta di regole dell'applicazione aksfwar.

    Diagramma che mostra l'aggiunta di regole dell'applicazione per il cluster Apache Flink con il passaggio 18 del portale di Azure.

  2. Aggiungere le regole seguenti alla raccolta di regole di rete aksfwnr.

    Diagramma che illustra come aggiungere regole dell'applicazione per il cluster Apache Flink con il passaggio 18 del portale di Azure.

    Nota

    1. Impostare Sql.<Region> sull'area desiderata in base alle esigenze. Ad esempio: Sql.WestEurope
    2. Impostare Storage.<Region> sull'area desiderata in base alle esigenze. Ad esempio: Storage.WestEurope

Risoluzione del problema di routing simmetrico

I passaggi seguenti consentono di richiedere il cluster in base al servizio di ingresso del servizio di bilanciamento del carico del cluster e assicurarsi che il traffico di risposta di rete non passi attraverso il firewall.

Aggiungere una route alla tabella di route per reindirizzare il traffico di risposta all'indirizzo IP client a Internet e raggiungere direttamente il cluster.

Diagramma che mostra come risolvere il problema di routing simmetrico con l'aggiunta di una voce della tabella di route nel passaggio 19.

Se non è possibile raggiungere il cluster ed è stato configurato il gruppo di sicurezza di rete, seguire Usare il gruppo di sicurezza di rete per limitare il traffico per consentire il traffico.

Suggerimento

Se si vuole consentire più traffico, è possibile configurarlo tramite il firewall.

Come eseguire il debug

Se il cluster funziona in modo imprevisto, è possibile verificare i log del firewall per individuare il traffico bloccato.