Partilhar via

Usar o firewall para restringir o tráfego de saída usando o portal do Azure

  • Artigo

Importante

O Azure HDInsight no AKS foi desativado em 31 de janeiro de 2025. Saiba mais com este anúncio.

Você precisa migrar suas cargas de trabalho para Microsoft Fabric ou um produto equivalente do Azure para evitar o encerramento abrupto de suas cargas de trabalho.

Importante

Esta funcionalidade está atualmente em pré-visualização. Os Termos de Utilização Suplementares para Pré-visualizações do Microsoft Azure incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, em pré-visualização ou ainda não disponibilizadas para disponibilização geral. Para obter informações sobre essa visualização específica, consulte Azure HDInsight no AKS informações de visualização. Para perguntas ou sugestões de funcionalidades, envie uma solicitação no AskHDInsight com os detalhes e siga-nos para obter mais atualizações na Comunidade do Azure HDInsight .

Quando uma empresa deseja usar sua própria rede virtual para as implantações de cluster, proteger o tráfego da rede virtual torna-se importante. Este artigo fornece as etapas para proteger o tráfego de saída do seu cluster HDInsight no AKS por meio do Firewall do Azure usando o portal do Azure.

O diagrama a seguir ilustra o exemplo usado neste artigo para simular um cenário empresarial:

Diagrama mostrando o fluxo de rede.

Criar uma rede virtual e sub-redes

  1. Crie uma rede virtual e duas sub-redes.

    Nesta etapa, configure uma rede virtual e duas sub-redes para configurar a saída especificamente.

    Diagrama mostrando a criação de uma rede virtual no grupo de recursos usando a etapa número 2 do portal do Azure.

    Diagrama mostrando a criação de uma rede virtual e a configuração do endereço IP usando a etapa 3 do portal do Azure.

    Diagrama mostrando a criação de uma rede virtual e a configuração do endereço IP usando o portal do Azure na etapa número quatro.

    Importante

    • Se você adicionar NSG na sub-rede, precisará adicionar determinadas regras de entrada e saída manualmente. Siga e use o NSG para restringir o tráfego.
    • Não associe a sub-rede hdiaks-egress-subnet a uma tabela de rotas, porque o HDInsight no AKS cria um conjunto de clusters com tipo de saída predefinido e não pode criar o conjunto de clusters numa sub-rede já associada a uma tabela de rotas.

Criar o HDInsight no pool de clusters AKS usando o portal do Azure

  1. Crie um pool de clusters.

    Diagrama mostrando a criação de um HDInsight no pool de clusters AKS usando o portal do Azure na etapa número cinco.

    Diagrama mostrando a criação de um HDInsight na rede do pool de clusters AKS usando a etapa 6 do portal do Azure.

  2. Quando o HDInsight no pool de clusters AKS é criado, pode-se encontrar uma tabela de rotas na sub-rede hdiaks-egress-subnet.

    Diagrama mostrando a criação de um HDInsight na rede do pool de clusters AKS usando a etapa 7 do portal do Azure.

Obtenha detalhes do cluster AKS associados ao pool de clusters

Você pode pesquisar o nome do pool de clusters no portal e aceder ao cluster AKS. Por exemplo

Diagrama mostrando como criar um HDInsight em um pool de clusters AKS na rede Kubernetes usando o portal do Azure conforme a etapa 8.

Obtenha os detalhes do AKS API Server.

Diagrama mostrando a criação de um HDInsight no pool de clusters AKS na rede de Kubernetes, usando o portal do Azure, passo 9.

Criar firewall

  1. Crie um firewall usando o portal do Azure.

    Diagrama mostrando a criação de um firewall usando a etapa 10 do portal do Azure.

  2. Habilite o servidor proxy DNS do firewall.

    Diagrama mostrando a criação de um firewall e proxy DNS usando a etapa 11 do portal do Azure.

  3. Depois que o firewall for criado, localize o IP interno e o IP público do firewall.

    Diagrama mostrando a criação de um firewall e proxy DNS IP interno e público usando a etapa 12 do portal do Azure.

Adicionar regras de rede e aplicativos ao firewall

  1. Crie a coleção de regras de rede com as seguintes regras.

    Diagrama mostrando a adição de regras de firewall usando a etapa 13 do portal do Azure.

  2. Crie a coleção de regras de aplicativo com as seguintes regras.

    Diagrama mostrando a adição de regras de firewall usando a etapa 14 do portal do Azure.

Criar rota na tabela de rotas para redirecionar o tráfego para o firewall

Adicione novas rotas à tabela de rotas para redirecionar o tráfego para o firewall.

Diagrama mostrando a adição de entradas da tabela de rotas usando a etapa 15 do portal do Azure.

Diagrama mostrando como adicionar entradas de tabela de rotas usando a etapa 15 do portal do Azure.

Criar cluster

Nas etapas anteriores, roteamos o tráfego para o firewall.

As etapas a seguir fornecem detalhes sobre as regras específicas de rede e aplicativo necessárias para cada tipo de cluster. Você pode consultar as páginas de criação de cluster para criar Apache Flink, Trinoe Apache Spark clusters com base em sua necessidade.

Importante

Antes de criar o cluster, certifique-se de adicionar as seguintes regras específicas do cluster para permitir o tráfego.

Trino

  1. Adicione as seguintes regras à coleção de regras de aplicativo aksfwar.

    Diagrama mostrando a adição de regras de aplicativo para o Trino Cluster usando a etapa 16 do portal do Azure.

  2. Adicione a seguinte regra à coleção de regras de rede aksfwnr.

    Diagrama mostrando como adicionar regras de aplicativo à coleção de regras de rede para o Trino Cluster usando a etapa 16 do portal do Azure.

    Observação

    Altere o Sql.<Region> para sua região de acordo com sua necessidade. Por exemplo: Sql.WestEurope

  1. Adicione a seguinte regra à coleção de regras de aplicativo aksfwar.

    Diagrama mostrando a adição de regras de aplicativo para o Apache Flink Cluster usando a etapa 17 do portal do Azure.

Apache Spark

  1. Adicione as seguintes regras à coleção de regras de aplicativo aksfwar.

    Diagrama mostrando a adição de regras de aplicativo para o Apache Flink Cluster usando a etapa 18 do portal do Azure.

  2. Adicione as seguintes regras à coleção de regras de rede aksfwnr.

    Diagrama mostrando como adicionar regras de aplicativo para o Apache Flink Cluster usando a etapa 18 do portal do Azure.

    Observação

    1. Altere o Sql.<Region> para sua região de acordo com sua necessidade. Por exemplo: Sql.WestEurope
    2. Altere o Storage.<Region> para sua região de acordo com sua necessidade. Por exemplo: Storage.WestEurope

Resolvendo problema de roteamento simétrico

As etapas a seguir permitem-nos solicitar o serviço de ingresso do balanceador de carga por cluster e garantir que o tráfego de resposta da rede não chegue ao firewall.

Adicione uma rota à tabela de rotas para redirecionar o tráfego de resposta do IP do cliente para a Internet e, em seguida, pode aceder ao cluster diretamente.

Diagrama mostrando como resolver o problema de roteamento simétrico com a adição de uma entrada de tabela de rotas na etapa número 19.

Se não conseguir aceder ao cluster e tiver configurado o NSG, siga os passos para usar o NSG e restringir o tráfego, ou para permitir o tráfego.

Dica

Se quiser permitir mais tráfego, pode configurá-lo através da firewall.

Como depurar

Se você achar que o cluster funciona inesperadamente, poderá verificar os logs do firewall para descobrir qual tráfego está bloqueado.