Delen via

Firewall gebruiken om uitgaand verkeer te beperken met behulp van Azure Portal

  • Artikel

Belangrijk

Azure HDInsight op AKS is op 31 januari 2025 buiten gebruik gesteld. Meer informatie met deze aankondiging.

U moet uw workloads migreren naar Microsoft Fabric- of een gelijkwaardig Azure-product om plotselinge beëindiging van uw workloads te voorkomen.

Belangrijk

Deze functie is momenteel beschikbaar als preview-versie. De aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews meer juridische voorwaarden bevatten die van toepassing zijn op Azure-functies die bèta, in preview of anderszins nog niet in algemene beschikbaarheid zijn vrijgegeven. Zie Azure HDInsight in AKS preview-informatievoor meer informatie over deze specifieke preview. Voor vragen of suggesties voor functies dient u een aanvraag in op AskHDInsight- met de details en volgt u ons voor meer updates over Azure HDInsight Community-.

Wanneer een onderneming een eigen virtueel netwerk wil gebruiken voor de clusterimplementaties, wordt het beveiligen van het verkeer van het virtuele netwerk belangrijk. Dit artikel bevat de stappen voor het beveiligen van uitgaand verkeer vanuit uw HDInsight op AKS-cluster via Azure Firewall met behulp van Azure Portal.

In het volgende diagram ziet u het voorbeeld dat in dit artikel wordt gebruikt om een bedrijfsscenario te simuleren:

diagram met de netwerkstroom.

Een virtueel netwerk en subnetten maken

  1. Maak een virtueel netwerk en twee subnetten.

    In deze stap stelt u een virtueel netwerk en twee subnetten in voor het specifiek configureren van egressverkeer.

    diagram met het maken van een virtueel netwerk in de resourcegroep met behulp van stap 2 van Azure Portal.

    diagram met het maken van een virtueel netwerk en het instellen van HET IP-adres met behulp van Azure Portal stap 3.

    diagram met het maken van een virtueel netwerk en het instellen van IP-adres met behulp van Azure Portal in stap vier.

    Belangrijk

    • Als u NSG toevoegt aan het subnet, moet u bepaalde regels voor uitgaand en inkomend verkeer handmatig toevoegen. Gebruik NSG om het verkeer te beperken volgens.
    • Koppel geen subnet-hdiaks-egress-subnet aan een routetabel omdat HDInsight in AKS een clustergroep maakt met het standaard uitgaande type en de clustergroep niet kan maken in een subnet dat al is gekoppeld aan een routetabel.

HDInsight in AKS-clustergroep maken met behulp van Azure Portal

  1. Maak een clustergroep.

    diagram met het maken van een HDInsight in een AKS-clustergroep met behulp van Azure Portal in stap vijf.

    diagram met het maken van een HDInsight op AKS-clustergroepnetwerken met behulp van Azure Portal stap 6.

  2. Wanneer HDInsight in een AKS-clustergroep wordt gemaakt, kunt u een routetabel vinden in het subnet hdiaks-egress-subnet.

    diagram met het maken van een HDInsight op AKS-clustergroepnetwerken met behulp van Azure Portal stap 7.

AKS-clusterdetails ophalen die zijn gemaakt achter de clustergroep

U kunt de naam van uw clustergroep doorzoeken in de portal en naar het AKS-cluster gaan. Bijvoorbeeld

diagram dat het maken van een HDInsight-clusterpool op AKS Kubernetes-netwerken via het Azure-portaal in stap 8 laat zien.

Haal details van AKS API Server op.

Diagram voor het maken van een HDInsight in de AKS-clusterpool voor Kubernetes-netwerken door middel van Azure Portal stap 9.

Firewall maken

  1. Maak een firewall met behulp van Azure Portal.

    diagram met het maken van een firewall met behulp van Azure Portal stap 10.

  2. Schakel de DNS-proxyserver van de firewall in.

    diagram met het maken van een firewall en DNS-proxy met behulp van Azure Portal stap 11.

  3. Zodra de firewall is gemaakt, zoekt u het interne IP-adres van de firewall en het openbare IP-adres.

    diagram met het maken van een interne en openbare IP-adres van een firewall en DNS-proxy met behulp van Azure Portal, stap 12.

Netwerk- en toepassingsregels toevoegen aan de firewall

  1. Maak de verzameling netwerkregels met de volgende regels.

    diagram met het toevoegen van firewallregels met behulp van Azure Portal stap 13.

  2. Maak de verzameling toepassingsregels met de volgende regels.

    diagram met het toevoegen van firewallregels met behulp van Azure Portal stap 14.

Route maken in de routetabel om het verkeer om te leiden naar de firewall

Voeg nieuwe routes toe aan de routetabel om het verkeer naar de firewall te leiden.

diagram waarin vermeldingen van routetabellen worden toegevoegd met behulp van Azure Portal stap 15.

diagram waarin wordt getoond hoe u routetabelvermeldingen toevoegt met behulp van Azure Portal stap 15.

Cluster maken

In de vorige stappen hebben we het verkeer doorgestuurd naar de firewall.

De volgende stappen bevatten details over de specifieke netwerk- en toepassingsregels die voor elk clustertype nodig zijn. U kunt verwijzen naar de pagina's voor het maken van clusters voor het maken van Apache Flink, Trinoen Apache Spark clusters op basis van uw behoeften.

Belangrijk

Voordat u het cluster maakt, moet u de volgende clusterspecifieke regels toevoegen om het verkeer toe te staan.

Trino

  1. Voeg de volgende regels toe aan de verzameling van toepassingsregels aksfwar.

    diagram met het toevoegen van toepassingsregels voor Trino-cluster met behulp van Azure Portal stap 16.

  2. Voeg de volgende regel toe aan de verzameling netwerkregels aksfwnr.

    diagram waarin wordt getoond hoe u toepassingsregels toevoegt aan de verzameling netwerkregels voor Trino-cluster met behulp van Azure Portal stap 16.

    Notitie

    Wijzig de Sql.<Region> in uw regio op basis van uw behoeften. Bijvoorbeeld: Sql.WestEurope

  1. Voeg de volgende regel toe aan de verzameling van toepassingsregels aksfwar.

    diagram met het toevoegen van toepassingsregels voor Apache Flink Cluster met behulp van Azure Portal stap 17.

Apache Spark

  1. Voeg de volgende regels toe aan de verzameling van toepassingsregels aksfwar.

    diagram met het toevoegen van toepassingsregels voor Apache Flink Cluster met behulp van Azure Portal stap 18.

  2. Voeg de volgende regels toe aan de verzameling netwerkregels aksfwnr.

    diagram waarin wordt getoond hoe u toepassingsregels voor Apache Flink Cluster toevoegt met behulp van Azure Portal stap 18.

    Notitie

    1. Wijzig de Sql.<Region> in uw regio op basis van uw behoeften. Bijvoorbeeld: Sql.WestEurope
    2. Wijzig de Storage.<Region> in uw regio op basis van uw behoeften. Bijvoorbeeld: Storage.WestEurope

Probleem met symmetrische routering oplossen

Met de volgende stappen kunnen we clusterdiensten voor inkomend verkeer via de load balancer aanvragen en ervoor zorgen dat het antwoordverkeer niet naar de firewall gaat.

Voeg een route toe aan de routetabel om het antwoordverkeer om te leiden naar het IP-adres van uw client naar internet. Vervolgens kunt u het cluster rechtstreeks bereiken.

diagram waarin wordt getoond hoe u een symmetrisch routeringsprobleem oplost met het toevoegen van een vermelding in de routetabel in stap 19.

Als u het cluster niet kunt bereiken en NSG hebt geconfigureerd, volg om NSG te gebruiken voor het beperken van het verkeer en om het verkeer toe te staan.

Advies

Als u meer verkeer wilt toestaan, kunt u dit configureren via de firewall.

Hoe fouten opsporen

Als u merkt dat het cluster onverwacht werkt, kunt u de firewalllogboeken controleren om te zien welk verkeer wordt geblokkeerd.