Azure portal を使用してファイアウォールを使って送信トラフィックを制限する

Note

Azure HDInsight on AKS は 2025 年 1 月 31 日に廃止されます。 2025 年 1 月 31 日より前に、ワークロードを Microsoft Fabric または同等の Azure 製品に移行することで、ワークロードの突然の終了を回避する必要があります。 サブスクリプション上に残っているクラスターは停止され、ホストから削除されることになります。

提供終了日までは基本サポートのみが利用できます。

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加の使用条件」に記載されています。 この特定のプレビューについては、「Microsoft HDInsight on AKS のプレビュー情報」を参照してください。 質問や機能の提案については、詳細を記載した要求を AskHDInsight で送信してください。また、その他の更新情報については、Azure HDInsight コミュニティのフォローをお願いいたします。

企業が独自の仮想ネットワークを使用してクラスターをデプロイする場合、仮想ネットワークのトラフィックをセキュリティで保護することが重要になります。 この記事では、Azure portal を使用して Azure Firewall 経由の HDInsight on AKS からの送信トラフィックをセキュリティで保護する手順を説明します。

次の図は、この記事で使用されている、エンタープライズ シナリオをシミュレートする例を示しています。

仮想ネットワークとサブネットを作成する

1. 仮想ネットワークと 2 つのサブネットを作成します。

   この手順では、仮想ネットワークと 2 つのサブネットを設定してエグレスを構成します。

   

   

   

   重要

   • サブネットで NSG を追加する場合は、特定の送信規則と受信規則を手動で追加する必要があります。 NSG を使用してトラフィックを制限する手順に従います。
   • HDInsight on AKS では既定の送信の種類でクラスター プールが作成されます。ルート テーブルに既に関連付けられているサブネットにクラスター プールを作成することはできないため、サブネット hdiaks-egress-subnet はルート テーブルに関連付けないでください。

Azure portal を使用して HDInsight on AKS クラスター プールを作成する

1. クラスター プールを作成します。

   

   

2. HDInsight on AKS クラスター プールが作成されると、サブネット hdiaks-egress-subnet でルート テーブルを見つけることができます。

   

クラスター プールの背後に作成された AKS クラスターの詳細を取得する

ポータルでクラスター プール名を検索し、AKS クラスターに移動できます。 たとえば、 にします。

AKS API サーバーの詳細を取得します。

ファイアウォールを作成する

1. Azure portal を使用してファイアウォールを作成します。

   

2. ファイアウォールの DNS プロキシ サーバーを有効にします。

   

3. ファイアウォールが作成されたら、ファイアウォールの内部 IP とパブリック IP を見つけます。

   

ファイアウォールにネットワーク ルールとアプリケーション ルールを追加する

1. 次のルールでネットワーク ルール コレクションを作成します。

   

2. 次のルールでアプリケーション ルール コレクションを作成します。

   

ルート テーブルにルートを作成して、トラフィックをファイアウォールにリダイレクトする

ルート テーブルに新しいルートを追加して、トラフィックをファイアウォールにリダイレクトします。

クラスターの作成

前の手順では、トラフィックをファイアウォールにルーティングしました。

次の手順では、クラスターの種類それぞれに必要な特定のネットワーク ルールとアプリケーション ルールについて詳しく説明します。 Apache Flink、Trino、Apache Spark のクラスターを作成するためのクラスター作成ページを、必要に応じて参照することができます。

重要

クラスターを作成する前に、次のクラスター固有のルールを追加してトラフィックを許可してください。

Trino

1. アプリケーション ルール コレクション aksfwar に以下のルールを追加します。

   

2. ネットワーク ルール コレクション aksfwnr に以下のルールを追加します。

   

   Note

   要件に沿って、Sql.<Region> をご自身のリージョンに変更します。 例: Sql.WestEurope

Apache Flink

1. アプリケーション ルール コレクション aksfwar に以下のルールを追加します。

   

Apache Spark

1. アプリケーション ルール コレクション aksfwar に以下のルールを追加します。

   

2. ネットワーク ルール コレクション aksfwnr に以下のルールを追加します。

   

   Note

   1. 要件に沿って、Sql.<Region> をご自身のリージョンに変更します。 例: Sql.WestEurope
   2. 要件に沿って、Storage.<Region> をご自身のリージョンに変更します。 例: Storage.WestEurope

対称的なルーティングの問題を解決する

次の手順により、クラスターごとにロード バランサー イングレス サービスを要求し、ネットワーク応答トラフィックがファイアウォールに流れないようにすることができます。

ルート テーブルにルートを追加して、応答トラフィックをご自身のクライアント IP、インターネットの順にリダイレクトします。その後、クラスターに直接到達できます。

クラスターに到達できず、NSG を構成済みの場合は、NSG を使用してトラフィックを制限する手順に従ってトラフィックを許可します。

ヒント

より多くのトラフィックを許可する場合は、ファイアウォールを通じて構成できます。

デバッグする方法

クラスターが予期しない動作をする場合は、ファイアウォール ログを確認して、どのトラフィックがブロックされているかを見つけることができます。