Поделиться через

Использование брандмауэра для ограничения исходящего трафика с помощью портала Azure

  • Статья

Важный

Azure HDInsight на AKS будет прекращено 31 января 2025 г. Узнайте больше благодаря этому объявлению.

Необходимо перенести рабочие нагрузки в Microsoft Fabric или эквивалентный продукт Azure, чтобы избежать резкого завершения рабочих нагрузок.

Важный

Эта функция сейчас доступна в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure включают дополнительные юридические термины, применимые к функциям Azure, которые находятся в бета-версии, в предварительной версии или в противном случае еще не выпущены в общую доступность. Сведения об этой конкретной предварительной версии см. в Azure HDInsight в предварительной версии AKS. Если у вас есть вопросы или предложения по функциям, отправьте запрос в AskHDInsight с подробными сведениями и подписывайтесь на обновления в Azure HDInsight Community.

Когда предприятие хочет использовать собственную виртуальную сеть для развертываний кластера, защита трафика виртуальной сети становится важной. В этой статье описаны действия по защите исходящего трафика из кластера HDInsight в кластере AKS через брандмауэр Azure с помощью портала Azure.

На следующей схеме показан пример, используемый в этой статье для имитации корпоративного сценария:

диаграмма, показывающая сетевой поток.

Создание виртуальной сети и подсетей

  1. Создайте виртуальную сеть и две подсети.

    На этом шаге настройте виртуальную сеть и две подсети, специально для настройки исходящего трафика.

    схема создания виртуальной сети в группе ресурсов с помощью шага портала Azure 2.

    диаграмма, показывающая создание виртуальной сети и настройку IP-адреса на шаге 3 с помощью портала Azure.

    схема, показывающая создание виртуальной сети и настройка IP-адреса с помощью портала Azure на шаге четыре.

    Важный

    • Если вы добавляете NSG в эту подсеть, необходимо вручную добавить определенные правила для исходящего и входящего трафика. Следуйте , используйте группу безопасности сети, чтобы ограничить трафик.
    • Не сопоставляйте подсеть hdiaks-egress-subnet с таблицей маршрутов, так как HDInsight в AKS создает пул кластеров с типом исходящего трафика по умолчанию и не может создать пул кластера в подсети, уже связанной с таблицей маршрутов.

Создание HDInsight в пуле кластеров AKS с помощью портала Azure

  1. Создайте пул кластеров.

    схема, показывающая создание HDInsight в пуле кластеров AKS с помощью портала Azure на шаге пять.

    Схема, показывающая создание HDInsight в сети пула кластеров AKS на шаге 6, используя портал Azure.

  2. При создании пула кластеров HDInsight на кластерах AKS, в подсети hdiaks-egress-subnetможно найти таблицу маршрутов.

    схема, показывающая создание HDInsight в сети пула кластеров AKS с помощью шага 7 портала Azure.

Получение сведений о кластере AKS, созданных за пулом кластеров

Вы можете искать имя пула кластера на портале и перейти к кластеру AKS. Например

Диаграмма, показывающая создание HDInsight в сети Kubernetes пула кластеров AKS, используя портал Azure, шаг 8.

Получение сведений о сервере API AKS.

Схема, показывающая создание HDInsight в пула кластеров AKS в сети Kubernetes с помощью шага 9 в портале Azure.

Создание брандмауэра

  1. Создайте брандмауэр с помощью портала Azure.

    схема, показывающая создание брандмауэра с помощью шага 10 портала Azure.

  2. Включите прокси-сервер DNS брандмауэра.

    схема создания брандмауэра и DNS-прокси с помощью шага 11 портала Azure.

  3. После создания брандмауэра найдите внутренний IP-адрес брандмауэра и общедоступный IP-адрес.

    Схема, показывающая создание брандмауэра и DNS-прокси для внутреннего и общедоступного IP-адресов на шаге 12 в портале Azure.

Добавление правил сети и приложений в брандмауэр

  1. Создайте коллекцию правил сети со следующими правилами.

    схема добавления правил брандмауэра с помощью шага 13 портала Azure.

  2. Создайте коллекцию правил приложения со следующими правилами.

    диаграмма, показывающая добавление правил брандмауэра с помощью шага 14 портала Azure.

Создание маршрута в таблице маршрутов для перенаправления трафика в брандмауэр

Добавьте новые маршруты в таблицу маршрутизации для перенаправления трафика на брандмауэр.

диаграмма, показывающая добавление записей таблицы маршрутов с помощью шага 15 портала Azure.

схема, показывающая, как добавлять записи таблицы маршрутов с помощью шага 15 портала Azure.

Создание кластера

На предыдущих шагах мы перенаправили трафик в брандмауэр.

Ниже приведены сведения о конкретных правилах сети и приложений, необходимых каждому типу кластера. Вы можете обратиться к страницам создания, чтобы создать кластеры Apache Flink, Trinoи Apache Spark в зависимости от ваших нужд.

Важный

Перед созданием кластера обязательно добавьте следующие правила кластера, чтобы разрешить трафик.

Трино

  1. Добавьте следующие правила в коллекцию правил приложений aksfwar.

    схема, показывающая добавление правил приложений для Кластера Trino с помощью шага 16 портала Azure.

  2. Добавьте следующее правило в коллекцию правил сети aksfwnr.

    схема, показывающая, как добавить правила приложения в коллекцию правил сети для Trino Cluster с помощью шага 16 портала Azure.

    Заметка

    Измените Sql.<Region> на код вашего региона в соответствии с вашими требованиями. Например, Sql.WestEurope

  1. Добавьте следующее правило в коллекцию правил приложений aksfwar.

    схема, показывающая добавление правил приложения для кластера Apache Flink с помощью шага 17 портала Azure.

Apache Spark

  1. Добавьте следующие правила в коллекцию правил приложений aksfwar.

    схема, показывающая добавление правил приложения для кластера Apache Flink с помощью шага 18 портала Azure.

  2. Добавьте следующие правила в коллекцию правил сети aksfwnr.

    схема, показывающая, как добавить правила приложения для кластера Apache Flink с помощью шага 18 портала Azure.

    Заметка

    1. Измените Sql.<Region> на ваш регион в соответствии с вашими требованиями. Например, Sql.WestEurope
    2. Измените Storage.<Region> на ваш регион в соответствии с вашими требованиями. Например, Storage.WestEurope

Решение проблемы симметричной маршрутизации

Следующие шаги позволяют запрашивать службу входящего трафика для балансировщика нагрузки каждой группы и гарантировать, что трафик сетевого ответа не проходит через брандмауэр.

Добавьте маршрут в таблицу маршрутов, чтобы перенаправить трафик ответа на IP-адрес клиента в Интернет, а затем напрямую связаться с кластером.

Схема, показывающая, как решить проблему симметричной маршрутизации путём добавления записи в таблицу маршрутов на шаге 19.

Если вы не можете связаться с кластером и настроили группу безопасности сети, следуйте инструкциям , используя группу безопасности сети, чтобы ограничить трафик, и, чтобы разрешить трафик.

Совет

Если вы хотите разрешить больше трафика, его можно настроить через брандмауэр.

Как выполнять отладку

Если кластер работает неожиданно, можно проверить журналы брандмауэра, чтобы найти, какой трафик заблокирован.