Compartilhar via

Usar o firewall para restringir o tráfego de saída usando o portal do Azure

  • Artigo

Observação

Desativaremos o Microsoft Azure HDInsight no AKS em 31 de janeiro de 2025. Para evitar o encerramento abrupto das suas cargas de trabalho, você precisará migrá-las para o Microsoft Fabric ou para um produto equivalente do Azure antes de 31 de janeiro de 2025. Os clusters restantes em sua assinatura serão interrompidos e removidos do host.

Somente o suporte básico estará disponível até a data de desativação.

Importante

Esse recurso está atualmente na visualização. Os Termos de uso complementares para versões prévias do Microsoft Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, em versão prévia ou ainda não lançados em disponibilidade geral. Para obter informações sobre essa versão prévia específica, confira Informações sobre a versão prévia do Azure HDInsight no AKS. Caso tenha perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para ver mais atualizações sobre a Comunidade do Azure HDInsight.

Quando uma empresa deseja usar sua própria rede virtual para as implantações de cluster, a proteção do tráfego da rede virtual torna-se importante. Este artigo fornece as etapas para proteger o tráfego de saída do HDInsight no cluster do AKS por meio do Firewall do Azure usando o portal do Azure.

O diagrama a seguir ilustra o exemplo usado neste artigo para simular um cenário empresarial:

Diagrama mostrando o fluxo de rede.

Criar uma rede virtual e sub-redes

  1. Criar a rede virtual e duas sub-redes.

    Nesta etapa, configure uma rede virtual e duas sub-redes para configurar a saída especificamente.

    Diagrama mostrando a criação de uma rede virtual no grupo de recursos usando a etapa 2 do portal do Azure.

    Diagrama mostrando a criação de uma rede virtual e a configuração do endereço IP usando a etapa 3 do portal do Azure.

    Diagrama mostrando a criação de uma rede virtual e a configuração do endereço IP usando o portal do Azure na etapa número quatro.

    Importante

    • Se você adicionar um NSG na sub-rede , precisará adicionar algumas regras de saída e de entrada manualmente. Siga Usar NSG para restringir o tráfego.
    • Não associe a sub-rede hdiaks-egress-subnet a uma tabela de rotas porque o HDInsight no AKS cria um pool de clusters com o tipo de saída padrão e não pode criá-lo em uma sub-rede já associada a uma tabela de rotas.

Criar o HDInsight no pool de clusters do AKS usando o portal do Azure

  1. Crie um pool de clusters.

    Diagrama mostrando a criação de um HDInsight no pool de clusters do AKS usando o portal do Azure na etapa número cinco.

    Diagrama mostrando a criação de um HDInsight na rede do pool de clusters do AKS usando a etapa 6 do portal do Azure.

  2. Quando o HDInsight no pool de clusters do AKS é criado, você pode encontrar uma tabela de rotas na sub-rede hdiaks-egress-subnet.

    Diagrama mostrando a criação de um HDInsight na rede do pool de clusters do AKS usando a etapa 7 do portal do Azure.

Obter detalhes do cluster do AKS criado por trás do pool de clusters

Você pode pesquisar o nome do pool de clusters no portal e ir para o cluster do AKS. Por exemplo,

Diagrama mostrando a criação de um HDInsight na rede de kubernetes de pool de clusters do AKS usando a etapa 8 do portal do Azure.

Obtenha detalhes do servidor de API do AKS.

Diagrama mostrando a criação de um HDInsight na rede de kubernetes de pool de clusters do AKS usando a etapa 9 do portal do Azure.

Criar firewall

  1. Crie um firewall usando o portal do Azure.

    Diagrama mostrando a criação de um firewall usando a etapa 10 do portal do Azure.

  2. Habilite o servidor proxy DNS do firewall.

    Diagrama mostrando a criação de um firewall e um proxy DNS usando a etapa 11 do portal do Azure.

  3. Depois que o firewall for criado, localize o IP interno e o IP público do firewall.

    Diagrama mostrando a criação de um firewall e um IP interno e público do proxy DNS usando a etapa 12 do portal do Azure.

Adicionar regras de rede e de aplicativo ao firewall

  1. Crie a coleção de regras de rede com as regras a seguir.

    Diagrama mostrando a adição de regras de firewall usando a etapa 13 do portal do Azure.

  2. Crie a coleção de regras de aplicativo com as regras a seguir.

    Diagrama mostrando a adição de regras de firewall usando a etapa 14 do portal do Azure.

Criar rota na tabela de rotas para redirecionar o tráfego para o firewall

Adicione novas rotas à tabela de rotas para redirecionar o tráfego para o firewall.

Diagrama mostrando a adição de entradas de tabela de rotas usando a etapa 15 do portal do Azure.

Diagrama mostrando como adicionar entradas de tabela de rotas usando a etapa 15 do portal do Azure.

Criar cluster

Nas etapas anteriores, encaminhamos o tráfego para o firewall.

As etapas a seguir fornecem detalhes sobre as regras de rede e de aplicativo específicas necessárias para cada tipo de cluster. Você pode consultar as páginas de criação do cluster para criar clusters Apache Flink, Trino e Apache Spark com base em suas necessidades.

Importante

Antes de criar o cluster, adicione as seguintes regras específicas de cluster para permitir o tráfego.

Trino

  1. Adicione as regras a seguir à coleção de regras do aplicativo aksfwar.

    Diagrama mostrando a adição de regras de aplicativo para o Cluster Trino usando a etapa 16 do portal do Azure.

  2. Adicione a regra a seguir à coleção de regras de rede aksfwnr.

    Diagrama mostrando como adicionar regras de aplicativo à coleção de regras de rede para o Cluster Trino usando a etapa 16 do portal do Azure.

    Observação

    Altere Sql.<Region> para sua região de acordo com suas necessidades. Por exemplo: Sql.WestEurope

  1. Adicione a regra a seguir à coleção de regras de aplicativo aksfwar.

    Diagrama mostrando a adição de regras de aplicativo para o Cluster Apache Flink usando a etapa 17 do portal do Azure.

Apache Spark

  1. Adicione as regras a seguir à coleção de regras do aplicativo aksfwar.

    Diagrama mostrando a adição de regras de aplicativo para o Cluster Apache Flink usando a etapa 18 do portal do Azure.

  2. Adicione as regras a seguir à coleção de regras de rede aksfwnr.

    Diagrama mostrando como adicionar regras de aplicativo para o Cluster Apache Flink usando a etapa 18 do portal do Azure.

    Observação

    1. Altere Sql.<Region> para sua região de acordo com suas necessidades. Por exemplo: Sql.WestEurope
    2. Altere Storage.<Region> para sua região de acordo com suas necessidades. Por exemplo: Storage.WestEurope

Solucionar problema de roteamento simétrico

As etapas a seguir nos permitem solicitar serviço de ingresso do balanceador de carga cluster por cluster e garantir que o tráfego de resposta da rede não flua para o firewall.

Adicione uma rota à tabela de rotas para redirecionar o tráfego de resposta para seu IP de cliente para a Internet e, em seguida, você pode acessar o cluster diretamente.

Diagrama mostrando como resolver o problema de roteamento simétrico com a adição de uma entrada de tabela de rotas na etapa número 19.

Se você não conseguir acessar o cluster e tiver configurado o NSG, siga Usar NSG para restringir o tráfego para permitir o tráfego.

Dica

Se você quiser permitir mais tráfego, poderá configurá-lo por meio do firewall.

Como depurar

Se você notar que o cluster está funcionando de maneira inesperada, poderá verificar os logs do firewall para localizar qual tráfego está sendo bloqueado.