Udostępnij za pośrednictwem

Ograniczanie ruchu wychodzącego przy użyciu witryny Azure Portal przy użyciu zapory

  • Artykuł

Uwaga

Wycofamy usługę Azure HDInsight w usłudze AKS 31 stycznia 2025 r. Przed 31 stycznia 2025 r. należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure, aby uniknąć nagłego zakończenia obciążeń. Pozostałe klastry w ramach subskrypcji zostaną zatrzymane i usunięte z hosta.

Tylko podstawowa pomoc techniczna będzie dostępna do daty wycofania.

Ważne

Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure, które znajdują się w wersji beta, w wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej. Aby uzyskać informacje o tej konkretnej wersji zapoznawczej, zobacz Informacje o wersji zapoznawczej usługi Azure HDInsight w usłudze AKS. W przypadku pytań lub sugestii dotyczących funkcji prześlij żądanie w usłudze AskHDInsight , aby uzyskać szczegółowe informacje i postępuj zgodnie z nami, aby uzyskać więcej aktualizacji w społeczności usługi Azure HDInsight.

Gdy przedsiębiorstwo chce używać własnej sieci wirtualnej do wdrożeń klastra, zabezpieczanie ruchu sieci wirtualnej staje się ważne. Ten artykuł zawiera kroki zabezpieczania ruchu wychodzącego z klastra usługi HDInsight w klastrze usługi AKS za pośrednictwem usługi Azure Firewall przy użyciu witryny Azure Portal.

Na poniższym diagramie przedstawiono przykład używany w tym artykule do symulowania scenariusza przedsiębiorstwa:

Diagram przedstawiający przepływ sieci.

Tworzenie sieci wirtualnej i podsieci

  1. Utwórz sieć wirtualną i dwie podsieci.

    W tym kroku skonfiguruj sieć wirtualną i dwie podsieci na potrzeby konfigurowania ruchu wychodzącego specjalnie.

    Diagram przedstawiający tworzenie sieci wirtualnej w grupie zasobów przy użyciu witryny Azure Portal — krok 2.

    Diagram przedstawiający tworzenie sieci wirtualnej i ustawianie adresu IP przy użyciu witryny Azure Portal — krok 3.

    Diagram przedstawiający tworzenie sieci wirtualnej i ustawianie adresu IP przy użyciu witryny Azure Portal w kroku czwartym.

    Ważne

    • Jeśli dodasz sieciową grupę zabezpieczeń w podsieci , musisz ręcznie dodać pewne reguły ruchu wychodzącego i przychodzącego. Użyj sieciowej grupy zabezpieczeń, aby ograniczyć ruch.
    • Nie kojarzyj podsieci hdiaks-egress-subnet z tabelą tras, ponieważ usługa HDInsight w usłudze AKS tworzy pulę klastrów z domyślnym typem ruchu wychodzącego i nie może utworzyć puli klastrów w podsieci skojarzonej już z tabelą tras.

Tworzenie usługi HDInsight w puli klastrów usługi AKS przy użyciu witryny Azure Portal

  1. Utwórz pulę klastrów.

    Diagram przedstawiający tworzenie usługi HDInsight w puli klastrów usługi AKS przy użyciu witryny Azure Portal w kroku piątym.

    Diagram przedstawiający tworzenie sieci puli klastrów usługi HDInsight w usłudze AKS przy użyciu witryny Azure Portal — krok 6.

  2. Po utworzeniu puli klastrów usługi HDInsight w usłudze AKS można znaleźć tabelę tras w podsieci hdiaks-egress-subnet.

    Diagram przedstawiający tworzenie usługi HDInsight w sieci puli klastrów usługi AKS przy użyciu witryny Azure Portal — krok 7.

Pobieranie szczegółów klastra usługi AKS utworzonych za pulą klastrów

Możesz wyszukać nazwę puli klastrów w portalu i przejść do klastra usługi AKS. Na przykład:

Diagram przedstawiający tworzenie usługi HDInsight w sieci kubernetes puli klastrów usługi AKS przy użyciu witryny Azure Portal — krok 8.

Pobierz szczegóły serwera interfejsu API usługi AKS.

Diagram przedstawiający tworzenie usługi HDInsight w sieci kubernetes puli klastrów usługi AKS przy użyciu witryny Azure Portal — krok 9.

Tworzenie zapory

  1. Utwórz zaporę przy użyciu witryny Azure Portal.

    Diagram przedstawiający tworzenie zapory przy użyciu witryny Azure Portal — krok 10.

  2. Włącz serwer proxy DNS zapory.

    Diagram przedstawiający tworzenie zapory i serwera proxy DNS przy użyciu witryny Azure Portal — krok 11.

  3. Po utworzeniu zapory znajdź wewnętrzny adres IP zapory i publiczny adres IP.

    Diagram przedstawiający tworzenie zapory i wewnętrznego i publicznego adresu IP serwera proxy DNS przy użyciu witryny Azure Portal — krok 12.

Dodawanie reguł sieci i aplikacji do zapory

  1. Utwórz kolekcję reguł sieci z następującymi regułami.

    Diagram przedstawiający dodawanie reguł zapory przy użyciu witryny Azure Portal — krok 13.

  2. Utwórz kolekcję reguł aplikacji z następującymi regułami.

    Diagram przedstawiający dodawanie reguł zapory przy użyciu witryny Azure Portal — krok 14.

Tworzenie trasy w tabeli tras w celu przekierowania ruchu do zapory

Dodaj nowe trasy do tabeli tras w celu przekierowania ruchu do zapory.

Diagram przedstawiający dodawanie wpisów tabeli tras przy użyciu witryny Azure Portal — krok 15.

Diagram przedstawiający sposób dodawania wpisów tabeli tras przy użyciu witryny Azure Portal — krok 15.

Tworzenie klastra

W poprzednich krokach przekierowaliśmy ruch do zapory.

Poniższe kroki zawierają szczegółowe informacje o określonych regułach sieci i aplikacji wymaganych przez każdy typ klastra. Możesz zapoznać się ze stronami tworzenia klastra na potrzeby tworzenia klastrów Apache Flink, Trino i Apache Spark .

Ważne

Przed utworzeniem klastra upewnij się, że dodano następujące reguły specyficzne dla klastra, aby zezwolić na ruch.

Trino

  1. Dodaj następujące reguły do kolekcji aksfwarreguł aplikacji .

    Diagram przedstawiający dodawanie reguł aplikacji dla klastra Trino przy użyciu witryny Azure Portal — krok 16.

  2. Dodaj następującą regułę do kolekcji aksfwnrreguł sieciowych .

    Diagram przedstawiający sposób dodawania reguł aplikacji do kolekcji reguł sieciowych dla klastra Trino przy użyciu witryny Azure Portal — krok 16.

    Uwaga

    Zmień wartość Sql.<Region> na region zgodnie z wymaganiami. Na przykład: Sql.WestEurope.

  1. Dodaj następującą regułę do kolekcji aksfwarreguł aplikacji .

    Diagram przedstawiający dodawanie reguł aplikacji dla klastra Apache Flink przy użyciu witryny Azure Portal — krok 17.

Apache Spark

  1. Dodaj następujące reguły do kolekcji aksfwarreguł aplikacji .

    Diagram przedstawiający dodawanie reguł aplikacji dla klastra Apache Flink przy użyciu witryny Azure Portal — krok 18.

  2. Dodaj następujące reguły do kolekcji aksfwnrreguł sieciowych .

    Diagram przedstawiający sposób dodawania reguł aplikacji dla klastra apache Flink przy użyciu witryny Azure Portal — krok 18.

    Uwaga

    1. Zmień wartość Sql.<Region> na region zgodnie z wymaganiami. Na przykład: Sql.WestEurope.
    2. Zmień wartość Storage.<Region> na region zgodnie z wymaganiami. Na przykład: Storage.WestEurope.

Rozwiązywanie problemu z routingiem symetrycznym

Poniższe kroki umożliwiają nam zażądanie klastra przez usługę ruchu przychodzącego modułu równoważenia obciążenia klastra i upewnienie się, że ruch odpowiedzi sieciowej nie przepływa do zapory.

Dodaj trasę do tabeli tras, aby przekierować ruch odpowiedzi do adresu IP klienta do Internetu, a następnie możesz uzyskać bezpośredni dostęp do klastra.

Diagram przedstawiający sposób rozwiązywania problemu z routingiem symetrycznym z dodawaniem wpisu tabeli tras w kroku nr 19.

Jeśli nie możesz nawiązać połączenia z klastrem i skonfigurowano sieciową grupę zabezpieczeń, użyj sieciowej grupy zabezpieczeń, aby ograniczyć ruch, aby zezwolić na ruch .

Napiwek

Jeśli chcesz zezwolić na większy ruch, możesz skonfigurować go za pośrednictwem zapory.

Jak debugować

Jeśli znajdziesz klaster działa nieoczekiwanie, możesz sprawdzić dzienniki zapory, aby znaleźć, który ruch jest blokowany.