次の方法で共有

ファイアウォールを使用して Azure portal を使用して送信トラフィックを制限する

  • [アーティクル]

大事な

AKS 上の Azure HDInsight は、2025 年 1 月 31 日に廃止されました。 についての詳細は、このお知らせをご覧ください。

ワークロードの突然の終了を回避するには、ワークロードを Microsoft Fabric または同等の Azure 製品 に移行する必要があります。

大事な

この機能は現在プレビュー段階です。 Microsoft Azure プレビューの 追加使用条件 には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される、より多くの法的条件が含まれています。 この特定のプレビューの詳細については、AKS プレビュー情報 Azure HDInsightを参照してください。 ご質問や機能の提案については、詳細を記載した要求をAskHDInsight に送信し、Azure HDInsight Community をフォローして、さらなる更新情報をご確認ください。

企業がクラスターのデプロイに独自の仮想ネットワークを使用する場合、仮想ネットワークのトラフィックをセキュリティで保護することが重要になります。 この記事では、Azure portal を使用して Azure Firewall 経由で AKS クラスター上の HDInsight からの送信トラフィックをセキュリティで保護する手順について説明します。

次の図は、この記事でエンタープライズ シナリオをシミュレートするために使用される例を示しています。

ネットワーク フローを示す図。

仮想ネットワークとサブネットを作成する

  1. 仮想ネットワークと 2 つのサブネットを作成します。

    この手順では、エグレスを具体的に構成するための仮想ネットワークと 2 つのサブネットを設定します。

    Azure portal ステップ番号 2 を使用してリソース グループに仮想ネットワークを作成することを示す図。

    Azure portal の手順 3 を使用した仮想ネットワークの作成と IP アドレスの設定を示す図。

    手順 4 の Azure portal を使用した仮想ネットワークの作成と IP アドレスの設定を示す図。

    大事な

    • サブネットに NSG を追加する場合は、特定の送信規則と受信規則を手動で追加する必要があります。 NSG を使って、トラフィック を制限し、に従ってください。
    • AKS 上の HDInsight では既定の送信の種類のクラスター プールが作成され、ルート テーブルに既に関連付けられているサブネットにクラスター プールを作成できないため、サブネット hdiaks-egress-subnet をルート テーブルに関連付けないでください。

Azure portal を使用して AKS クラスター プールに HDInsight を作成する

  1. クラスター プールを作成します。

    ステップ 5 で Azure portal を使用して AKS クラスター プールに HDInsight を作成することを示す図。

    Azure portal の手順 6 を使用した AKS クラスター プール ネットワークでの HDInsight の作成を示す図。

  2. AKS クラスター プール上の HDInsight が作成されると、サブネット hdiaks-egress-subnetでルート テーブルを見つけることができます。

    Azure portal の手順 7 を使用した AKS クラスター プール ネットワークでの HDInsight の作成を示す図。

クラスター プールの背後に作成された AKS クラスターの詳細を取得する

ポータルでクラスター プール名を検索し、AKS クラスターに移動できます。 例えば

Azure portal の手順 8 を使用した AKS クラスター プールの kubernetes ネットワークでの HDInsight の作成を示す図。

AKS API Server の詳細を取得します。

Azure portal の手順 9 を使用した AKS クラスター プール kubernetes ネットワークでの HDInsight の作成を示す図。

ファイアウォールを作成する

  1. Azure portal を使用してファイアウォールを作成します。

    Azure portal の手順 10 を使用したファイアウォールの作成を示す図。

  2. ファイアウォールの DNS プロキシ サーバーを有効にします。

    Azure portal の手順 11 を使用したファイアウォールと DNS プロキシの作成を示す図。

  3. ファイアウォールが作成されたら、ファイアウォールの内部 IP とパブリック IP を見つけます。

    Azure portal の手順 12 を使用したファイアウォールと DNS プロキシの内部およびパブリック IP の作成を示す図。

ファイアウォールにネットワーク規則とアプリケーション規則を追加する

  1. 次の規則を使用して、ネットワーク 規則コレクションを作成します。

    Azure portal の手順 13 を使用したファイアウォール規則の追加を示す図。

  2. 次の規則を使用して、アプリケーション 規則コレクションを作成します。

    Azure portal の手順 14 を使用したファイアウォール規則の追加を示す図。

トラフィックをファイアウォールにリダイレクトするルート をルート テーブルに作成する

ルート テーブルに新しいルートを追加して、トラフィックをファイアウォールにリダイレクトします。

Azure portal の手順 15 を使用したルート テーブル エントリの追加を示す図。

Azure portal の手順 15 を使用してルート テーブル エントリを追加する方法を示す図。

クラスターの作成

前の手順では、トラフィックをファイアウォールにルーティングしました。

次の手順では、各クラスターの種類に必要な特定のネットワーク規則とアプリケーション ルールについて詳しく説明します。 必要に応じて、Apache Flink Trino、および Apache Spark クラスター作成するためのクラスター作成ページを参照できます。

大事な

クラスターを作成する前に、トラフィックを許可する次のクラスター固有の規則を必ず追加してください。

Trino

  1. 次の規則をアプリケーション ルール コレクション aksfwarに追加します。

    Azure portal の手順 16 を使用した Trino クラスターのアプリケーション 規則の追加を示す図。

  2. 次の規則をネットワーク ルール コレクション aksfwnrに追加します。

    Azure portal の手順 16 を使用して Trino クラスターのネットワーク 規則コレクションにアプリケーション ルールを追加する方法を示す図。

    手記

    要件に応じて、Sql.<Region> をあなたの地域に変更してください。 例: Sql.WestEurope

  1. アプリケーション ルール コレクションに次の規則 aksfwar追加します。

    Azure portal の手順 17 を使用した Apache Flink クラスターのアプリケーション 規則の追加を示す図。

Apache Spark

  1. 次の規則をアプリケーション ルール コレクション aksfwarに追加します。

    Azure portal の手順 18 を使用した Apache Flink クラスターのアプリケーション 規則の追加を示す図。

  2. 次の規則をネットワーク 規則コレクション aksfwnrに追加します。

    Azure portal の手順 18 を使用して Apache Flink クラスターのアプリケーション ルールを追加する方法を示す図。

    手記

    1. 要件に従って、Sql.<Region> をあなたの地域に変更してください。 例: Sql.WestEurope
    2. 要件に応じて、Storage.<Region> をあなたの地域に変更してください。 例: Storage.WestEurope

対称ルーティングの問題の解決

次の手順では、クラスター ロード バランサーのイングレス サービスによってクラスターを要求し、ネットワーク応答トラフィックがファイアウォールに流れないことを確認できます。

ルート テーブルにルートを追加して、応答トラフィックをクライアント IP にインターネットにリダイレクトした後、クラスターに直接到達できます。

手順 19 のルート テーブル エントリの追加に関する対称ルーティングの問題を解決する方法を示す図。

クラスターに到達できない場合、の指示に従って NSG を構成し、トラフィックを制限します。その後、 の指示に従ってトラフィックを許可します。

ヒント

より多くのトラフィックを許可する場合は、ファイアウォール経由で構成できます。

デバッグ方法

クラスターが予期せず動作する場合は、ファイアウォール ログを確認して、ブロックされているトラフィックを見つけることができます。