Partilhar via

Usar o firewall para restringir o tráfego de saída usando o portal do Azure

  • Artigo

Nota

Vamos desativar o Azure HDInsight no AKS em 31 de janeiro de 2025. Antes de 31 de janeiro de 2025, você precisará migrar suas cargas de trabalho para o Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho. Os clusters restantes na sua subscrição serão interrompidos e removidos do anfitrião.

Apenas o apoio básico estará disponível até à data da reforma.

Importante

Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Para obter informações sobre essa visualização específica, consulte Informações de visualização do Azure HDInsight no AKS. Para perguntas ou sugestões de recursos, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight.

Quando uma empresa deseja usar sua própria rede virtual para as implantações de cluster, proteger o tráfego da rede virtual torna-se importante. Este artigo fornece as etapas para proteger o tráfego de saída do seu cluster HDInsight no AKS por meio do Firewall do Azure usando o portal do Azure.

O diagrama a seguir ilustra o exemplo usado neste artigo para simular um cenário empresarial:

Diagrama mostrando o fluxo de rede.

Criar uma rede virtual e sub-redes

  1. Crie uma rede virtual e duas sub-redes.

    Nesta etapa, configure uma rede virtual e duas sub-redes para configurar a saída especificamente.

    Diagrama mostrando a criação de uma rede virtual no grupo de recursos usando a etapa número 2 do portal do Azure.

    Diagrama mostrando a criação de uma rede virtual e a configuração do endereço IP usando a etapa 3 do portal do Azure.

    Diagrama mostrando a criação de uma rede virtual e a configuração do endereço IP usando o portal do Azure na etapa número quatro.

    Importante

    • Se você adicionar NSG na sub-rede, precisará adicionar determinadas regras de entrada e saída manualmente. Siga use NSG para restringir o tráfego.
    • Não associe sub-rede hdiaks-egress-subnet a uma tabela de rotas porque o HDInsight no AKS cria pool de clusters com tipo de saída padrão e não pode criar o pool de clusters em uma sub-rede já associada a uma tabela de rotas.

Criar o HDInsight no pool de clusters AKS usando o portal do Azure

  1. Crie um pool de clusters.

    Diagrama mostrando a criação de um HDInsight no pool de clusters AKS usando o portal do Azure na etapa número cinco.

    Diagrama mostrando a criação de um HDInsight na rede do pool de clusters AKS usando a etapa 6 do portal do Azure.

  2. Quando o HDInsight no pool de clusters AKS é criado, você pode encontrar uma tabela de rotas na sub-rede hdiaks-egress-subnet.

    Diagrama mostrando a criação de um HDInsight na rede do pool de clusters AKS usando a etapa 7 do portal do Azure.

Obter detalhes do cluster AKS criados por trás do pool de clusters

Você pode pesquisar o nome do pool de clusters no portal e ir para o cluster AKS. Por exemplo,

Diagrama mostrando a criação de um HDInsight na rede kubernetes do pool de clusters AKS usando a etapa 8 do portal do Azure.

Obtenha os detalhes do AKS API Server.

Diagrama mostrando a criação de um HDInsight na rede kubernetes do pool de clusters AKS usando a etapa 9 do portal do Azure.

Criar firewall

  1. Crie um firewall usando o portal do Azure.

    Diagrama mostrando a criação de um firewall usando a etapa 10 do portal do Azure.

  2. Habilite o servidor proxy DNS do firewall.

    Diagrama mostrando a criação de um firewall e proxy DNS usando a etapa 11 do portal do Azure.

  3. Depois que o firewall for criado, localize o IP interno e o IP público do firewall.

    Diagrama mostrando a criação de um firewall e proxy DNS IP interno e público usando a etapa 12 do portal do Azure.

Adicionar regras de rede e aplicativos ao firewall

  1. Crie a coleção de regras de rede com as seguintes regras.

    Diagrama mostrando a adição de regras de firewall usando a etapa 13 do portal do Azure.

  2. Crie a coleção de regras de aplicativo com as seguintes regras.

    Diagrama mostrando a adição de regras de firewall usando a etapa 14 do portal do Azure.

Criar rota na tabela de rotas para redirecionar o tráfego para o firewall

Adicione novas rotas à tabela de rotas para redirecionar o tráfego para o firewall.

Diagrama mostrando a adição de entradas da tabela de rotas usando a etapa 15 do portal do Azure.

Diagrama mostrando como adicionar entradas de tabela de rotas usando a etapa 15 do portal do Azure.

Criar cluster

Nas etapas anteriores, roteamos o tráfego para o firewall.

As etapas a seguir fornecem detalhes sobre as regras específicas de rede e aplicativo necessárias para cada tipo de cluster. Você pode consultar as páginas de criação de cluster para criar clusters Apache Flink, Trino e Apache Spark com base em sua necessidade.

Importante

Antes de criar o cluster, certifique-se de adicionar as seguintes regras específicas do cluster para permitir o tráfego.

Trino

  1. Adicione as seguintes regras à coleção de aksfwarregras de aplicativo .

    Diagrama mostrando a adição de regras de aplicativo para o Trino Cluster usando a etapa 16 do portal do Azure.

  2. Adicione a seguinte regra à coleção de aksfwnrregras de rede.

    Diagrama mostrando como adicionar regras de aplicativo à coleção de regras de rede para o Trino Cluster usando a etapa 16 do portal do Azure.

    Nota

    Mude o para a sua região de acordo com a Sql.<Region> sua necessidade. Por exemplo: Sql.WestEurope

  1. Adicione a seguinte regra à coleção de aksfwarregras de aplicativo .

    Diagrama mostrando a adição de regras de aplicativo para o Apache Flink Cluster usando a etapa 17 do portal do Azure.

Apache Spark

  1. Adicione as seguintes regras à coleção de aksfwarregras de aplicativo .

    Diagrama mostrando a adição de regras de aplicativo para o Apache Flink Cluster usando a etapa 18 do portal do Azure.

  2. Adicione as seguintes regras à coleção de aksfwnrregras de rede.

    Diagrama mostrando como adicionar regras de aplicativo para o Apache Flink Cluster usando a etapa 18 do portal do Azure.

    Nota

    1. Mude o para a sua região de acordo com a Sql.<Region> sua necessidade. Por exemplo: Sql.WestEurope
    2. Mude o para a sua região de acordo com a Storage.<Region> sua necessidade. Por exemplo: Storage.WestEurope

Resolvendo problema de roteamento simétrico

As etapas a seguir nos permitem solicitar o serviço de entrada do balanceador de carga de cluster por cluster e garantir que o tráfego de resposta da rede não flua para o firewall.

Adicione uma rota à tabela de rotas para redirecionar o tráfego de resposta para o IP do cliente para a Internet e, em seguida, você pode acessar o cluster diretamente.

Diagrama mostrando como resolver o problema de roteamento simétrico com a adição de uma entrada de tabela de rotas na etapa número 19.

Se você não conseguir acessar o cluster e tiver configurado o NSG, use o NSG para restringir o tráfego para permitir o tráfego.

Gorjeta

Se quiser permitir mais tráfego, pode configurá-lo através da firewall.

Como depurar

Se você achar que o cluster funciona inesperadamente, poderá verificar os logs do firewall para descobrir qual tráfego está bloqueado.