Udostępnij za pośrednictwem

Użyj zapory do ograniczenia ruchu wychodzącego w Azure Portal

  • Artykuł

Ważny

Usługa Azure HDInsight w usłudze AKS została wycofana 31 stycznia 2025 r. Dowiedz się więcej dzięki temu ogłoszeniu.

Aby uniknąć nagłego kończenia obciążeń, należy przeprowadzić migrację obciążeń do usługi Microsoft Fabric lub równoważnego produktu platformy Azure.

Ważny

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Dodatkowe warunki użytkowania dla Microsoft Azure Previews zawierają więcej warunków prawnych, które dotyczą funkcji Microsoft Azure znajdujących się w wersji beta, w wersji zapoznawczej lub w inny sposób jeszcze niewydanych ogólnie. Aby uzyskać informacje na temat tej konkretnej wersji zapoznawczej, zobacz informacje dotyczące wersji zapoznawczej Azure HDInsight na AKS. W przypadku pytań lub sugestii dotyczących funkcji prosimy o przesłanie zgłoszenia na AskHDInsight z szczegółami i obserwowanie nas w celu uzyskania dalszych aktualizacji na społeczności Azure HDInsight.

Gdy przedsiębiorstwo chce używać własnej sieci wirtualnej do wdrożeń klastra, zabezpieczanie ruchu sieci wirtualnej staje się ważne. Ten artykuł zawiera kroki zabezpieczania ruchu wychodzącego z klastra HDInsight w klastrze AKS za pośrednictwem zapory Azure przy użyciu portalu Azure.

Na poniższym diagramie przedstawiono przykład używany w tym artykule do symulowania scenariusza przedsiębiorstwa:

Diagram przedstawiający przepływ sieciowy.

Tworzenie sieci wirtualnej i podsieci

  1. Utwórz sieć wirtualną i dwie podsieci.

    W tym kroku należy przygotować sieć wirtualną i dwie podsieci, aby skonfigurować ruch wychodzący w sposób szczegółowy.

    Diagram przedstawiający tworzenie sieci wirtualnej w grupie zasobów przy użyciu Azure Portal, krok numer 2.

    Diagram przedstawiający tworzenie sieci wirtualnej i ustawianie adresu IP przy użyciu witryny Azure Portal — krok 3.

    Diagram przedstawiający tworzenie sieci wirtualnej i ustawianie adresu IP przy użyciu witryny Azure Portal w kroku czwartym.

    Ważny

    • Jeśli dodasz NSG w podsieci, musisz ręcznie dodać niektóre reguły ruchu wychodzącego i przychodzącego. Postępuj zgodnie z użyj sieciowej grupy zabezpieczeń, aby ograniczyć ruch.
    • Nie kojarzyj podsieci hdiaks-egress-subnet z tabelą tras, ponieważ usługa HDInsight w usłudze AKS tworzy pulę klastrów z domyślnym typem ruchu wychodzącego i nie może utworzyć puli klastrów w podsieci skojarzonej już z tabelą tras.

Tworzenie usługi HDInsight w puli klastrów usługi AKS za pomocą portalu Azure

  1. Utwórz pulę klastrów.

    Diagram przedstawiający tworzenie usługi HDInsight w puli klastrów usługi AKS przy użyciu portalu Azure, w kroku 5.

    diagram przedstawiający tworzenie sieci dla puli klastrów HDInsight na platformie AKS przy użyciu Azure Portal — krok 6.

  2. Po utworzeniu HDInsight na puli klastrów AKS można znaleźć tabelę tras w podsieci hdiaks-egress-subnet.

    Diagram przedstawiający tworzenie sieci puli klastrów usługi HDInsight w usłudze AKS przy użyciu witryny Azure Portal — krok 7.

Uzyskaj szczegóły klastra AKS utworzonego za pulą klastrów

Możesz wyszukać nazwę puli klastrów w portalu internetowym i następnie przejść do klastra AKS. Na przykład

Diagram przedstawiający tworzenie usługi HDInsight na puli klastrów AKS w sieci Kubernetes przy użyciu portalu Azure — krok 8.

Pobierz szczegóły serwera API AKS.

Diagram przedstawiający tworzenie usługi HDInsight w sieci kubernetes puli klastrów AKS przy użyciu witryny Azure Portal — krok 9.

Tworzenie zapory

  1. Utwórz zaporę przy użyciu witryny Azure Portal.

    Diagram przedstawiający tworzenie zapory przy użyciu witryny Azure Portal — krok 10.

  2. Włącz serwer proxy DNS zapory.

    Diagram przedstawiający tworzenie zapory i serwera proxy DNS przy użyciu witryny Azure Portal — krok 11.

  3. Po utworzeniu zapory znajdź wewnętrzny adres IP zapory i publiczny adres IP.

    Diagram przedstawiający tworzenie zapory i wewnętrznego i publicznego adresu IP serwera proxy DNS przy użyciu witryny Azure Portal— krok 12.

Dodaj reguły sieciowe i aplikacyjne do zapory

  1. Utwórz kolekcję reguł sieci z następującymi regułami.

    Diagram przedstawiający dodawanie reguł zapory przy użyciu witryny Azure Portal — krok 13.

  2. Utwórz kolekcję reguł aplikacji z następującymi regułami.

    Diagram przedstawiający dodawanie reguł zapory przy użyciu witryny Azure Portal — krok 14.

Utwórz trasę w tabeli tras w celu przekierowania ruchu do zapory sieciowej

Dodaj nowe trasy do tabeli routingu, aby przekierować ruch do zapory.

Diagram przedstawiający dodawanie wpisów tabeli tras przy użyciu witryny Azure Portal — krok 15.

Diagram przedstawiający sposób dodawania wpisów tabeli tras przy użyciu witryny Azure Portal — krok 15.

Tworzenie klastra

W poprzednich krokach przekierowaliśmy ruch do zapory.

Poniższe kroki zawierają szczegółowe informacje o określonych regułach sieci i aplikacji wymaganych przez każdy typ klastra. Możesz zapoznać się ze stronami dotyczącymi tworzenia klastrów Apache Flink , Trino i Apache Spark , w zależności od potrzeb.

Ważny

Przed utworzeniem klastra upewnij się, że dodano następujące reguły specyficzne dla klastra, aby zezwolić na ruch.

Trino

  1. Dodaj następujące reguły do kolekcji reguł aplikacji aksfwar.

    Diagram przedstawiający dodawanie reguł aplikacji dla klastra Trino przy użyciu witryny Azure Portal — krok 16.

  2. Dodaj następującą regułę do kolekcji reguł sieciowych aksfwnr.

    Diagram przedstawiający sposób dodawania reguł aplikacji do kolekcji reguł sieciowych dla klastra Trino przy użyciu witryny Azure Portal — krok 16.

    Notatka

    Zmień Sql.<Region> na swój region zgodnie z Twoimi potrzebami. Na przykład: Sql.WestEurope

  1. Dodaj następującą regułę do kolekcji reguł aplikacji aksfwar.

    Diagram przedstawiający dodawanie reguł aplikacji dla klastra Apache Flink przy użyciu witryny Azure Portal — krok 17.

Apache Spark

  1. Dodaj następujące reguły do kolekcji reguł aplikacji aksfwar.

    Diagram przedstawiający dodawanie reguł aplikacji dla klastra Apache Flink przy użyciu witryny Azure Portal — krok 18.

  2. Dodaj następujące reguły do kolekcji reguł sieciowych aksfwnr.

    Diagram przedstawiający sposób dodawania reguł aplikacji dla klastra Apache Flink przy użyciu witryny Azure Portal — krok 18.

    Notatka

    1. Zmień Sql.<Region> na swój region według potrzeb. Na przykład: Sql.WestEurope
    2. Zmień Storage.<Region> na swój region zgodnie z potrzebami. Na przykład: Storage.WestEurope

Rozwiązywanie problemu z routingiem symetrycznym

Poniższe kroki umożliwiają nam zażądanie usługi wejściowej równoważenia obciążenia dla poszczególnych klastrów i zapewnienie, że ruch odpowiedzi sieciowej nie przepływa do zapory.

Dodaj trasę do tabeli tras, aby przekierować ruch odpowiedzi z adresu IP klienta do Internetu, a wtedy będziesz mógł uzyskać bezpośredni dostęp do klastra.

Diagram przedstawiający sposób rozwiązywania problemów z routingiem symetrycznym poprzez dodanie wpisu do tabeli tras w kroku nr 19.

Jeśli nie możesz nawiązać połączenia z klastrem i skonfigurowano sieciową grupę zabezpieczeń, wykonaj i użyj jej, aby ograniczyć ruch, lub aby zezwolić na ruch.

Napiwek

Jeśli chcesz zezwolić na większy ruch, możesz skonfigurować go za pośrednictwem zapory.

Jak debugować

Jeśli klaster działa nieoczekiwanie, możesz sprawdzić dzienniki zapory, aby dowiedzieć się, jaki ruch jest blokowany.