Dela via

Använda brandväggen för att begränsa utgående trafik med hjälp av Azure-portalen

  • Artikel

Viktig

Azure HDInsight på AKS drogs tillbaka den 31 januari 2025. Lär dig mer genom denna tillkännagivning.

Du måste migrera dina arbetsbelastningar till Microsoft Fabric- eller en motsvarande Azure-produkt för att undvika plötsliga uppsägningar av dina arbetsbelastningar.

Viktig

Den här funktionen är för närvarande i förhandsversion. De kompletterande användarvillkoren för Förhandsversioner av Microsoft Azure innehåller fler juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsvisning eller på annat sätt ännu inte har släppts för allmän tillgänglighet. Information om den här specifika förhandsversionen finns i Azure HDInsight på AKS-förhandsversionsinformation. För frågor eller förslag på funktioner, skicka en begäran på AskHDInsight med detaljerna och följ oss för fler uppdateringar om Azure HDInsight Community.

När ett företag vill använda sitt eget virtuella nätverk för klusterdistributionerna blir det viktigt att skydda trafiken i det virtuella nätverket. Den här artikeln innehåller stegen för att skydda utgående trafik från HDInsight i AKS-klustret via Azure Firewall med hjälp av Azure-portalen.

Följande diagram illustrerar exemplet som används i den här artikeln för att simulera ett företagsscenario:

diagram som visar nätverksflödet.

Skapa ett virtuellt nätverk och undernät

  1. Skapa ett virtuellt nätverk och två undernät.

    I det här steget ställer du in ett virtuellt nätverk och två undernät för att specifikt konfigurera utgående trafik.

    diagram som visar hur du skapar ett virtuellt nätverk i resursgruppen med hjälp av Steg nummer 2 i Azure-portalen.

    diagram som visar hur du skapar ett virtuellt nätverk och anger IP-adress med hjälp av Steg 3 i Azure-portalen.

    diagram som visar hur du skapar ett virtuellt nätverk och anger IP-adress med hjälp av Azure-portalen i steg fyra.

    Viktig

    • Om du lägger till NSG i undernätet måste du lägga till vissa regler för utgående och inkommande trafik manuellt. Följ att använda NSG för att begränsa trafiken.
    • Associera inte undernät hdiaks-egress-subnet med en routningstabell eftersom HDInsight på AKS skapar en klusterpool med standardtyp för utgående trafik och inte kan skapa klusterpoolen i ett undernät som redan är associerat med en routningstabell.

Skapa HDInsight i AKS-klusterpoolen med Hjälp av Azure-portalen

  1. Skapa en klusterpool.

    diagram som visar hur du skapar en HDInsight i AKS-klusterpoolen med hjälp av Azure-portalen i steg fem.

    diagram som visar hur du skapar ett HDInsight på AKS-klusterpoolens nätverk med hjälp av Azure-portalen steg 6.

  2. När HDInsight i AKS-klusterpoolen skapas kan du hitta en routningstabell i undernätet hdiaks-egress-subnet.

    diagram som visar hur du skapar ett HDInsight i AKS-klusterpoolens nätverk med hjälp av Azure-portalen steg 7.

Hämta INFORMATION om AKS-kluster som skapats bakom klusterpoolen

Du kan söka i klusterpoolens namn i portalen och gå till AKS-kluster. Till exempel

diagram som visar hur du skapar ett HDInsight på AKS-klusterpoolens kubernetes-nätverk med hjälp av Azure-portalen steg 8.

Hämta information om AKS API Server.

diagram som visar hur du skapar ett HDInsight på AKS-klusterpoolens kubernetes-nätverk med hjälp av Azure-portalen steg 9.

Skapa brandvägg

  1. Skapa brandvägg med Hjälp av Azure-portalen.

    diagram som visar hur du skapar en brandvägg med hjälp av Steg 10 i Azure-portalen.

  2. Aktivera DNS-proxyservern för brandväggen.

    diagram som visar hur du skapar en brandvägg och DNS-proxy med hjälp av Azure-portalen steg 11.

  3. När brandväggen har skapats letar du reda på brandväggens interna IP-adress och offentliga IP-adress.

    diagram som visar hur du skapar en intern och offentlig IP-adress för brandvägg och DNS-proxy med hjälp av Azure Portal steg 12.

Lägga till nätverks- och programregler i brandväggen

  1. Skapa nätverksregelsamlingen med följande regler.

    diagram som visar hur du lägger till brandväggsregler med hjälp av Steg 13 i Azure-portalen.

  2. Skapa programregelsamlingen med följande regler.

    diagram som visar hur du lägger till brandväggsregler med hjälp av Steg 14 i Azure-portalen.

Skapa en väg i routningstabellen för att omdirigera trafiken till brandväggen

Lägg till nya vägar i routningstabellen för att omdirigera trafiken till brandväggen.

diagram som visar hur du lägger till routningstabellposter med hjälp av Steg 15 i Azure-portalen.

diagram som visar hur du lägger till routningstabellposter med hjälp av Steg 15 i Azure-portalen.

Skapa kluster

I föregående steg har vi dirigerat trafiken till brandväggen.

Följande steg innehåller information om de specifika nätverks- och programregler som krävs av varje klustertyp. Du kan hänvisa till sidorna för att skapa kluster, såsom Apache Flink, Trinooch Apache Spark, baserat på dina behov.

Viktig

Innan du skapar klustret måste du lägga till följande klusterspecifika regler för att tillåta trafiken.

Trino

  1. Lägg till följande regler i programregelsamlingen aksfwar.

    diagram som visar hur du lägger till programregler för Trino-kluster med hjälp av Azure-portalen steg 16.

  2. Lägg till följande regel i nätverksregelsamlingen aksfwnr.

    diagram som visar hur du lägger till programregler i nätverksregelsamlingen för Trino-kluster med hjälp av Azure-portalen steg 16.

    Not

    Ändra Sql.<Region> till din region enligt dina behov. Till exempel: Sql.WestEurope

  1. Lägg till följande regel i programregelsamlingen aksfwar.

    diagram som visar hur du lägger till programregler för Apache Flink-kluster med hjälp av Azure-portalen steg 17.

Apache Spark

  1. Lägg till följande regler i programregelsamlingen aksfwar.

    diagram som visar hur du lägger till programregler för Apache Flink-kluster med hjälp av Azure-portalen steg 18.

  2. Lägg till följande regler i nätverksregelsamlingen aksfwnr.

    diagram som visar hur du lägger till programregler för Apache Flink-kluster med hjälp av Azure-portalen steg 18.

    Not

    1. Ändra Sql.<Region> till din region enligt dina behov. Till exempel: Sql.WestEurope
    2. Ändra Storage.<Region> till din region enligt dina behov. Till exempel: Storage.WestEurope

Lösa problem med symmetrisk routning

Med följande steg kan vi begära en ingångstjänst för klusterlastbalanserare kluster för kluster och säkerställa att nätverkssvarstrafiken inte styrs till brandväggen.

Lägg till en väg till routningstabellen för att omdirigera svarstrafiken till din klient-IP till Internet och sedan nå klustret direkt.

diagram som visar hur du löser symmetriska routningsproblem med att lägga till en routningstabellpost i steg nummer 19.

Om du inte kan nå klustret och har konfigurerat NSG bör du använda NSG för att begränsa trafiken enligt och sedan tillåta trafiken enligt.

Tips

Om du vill tillåta mer trafik kan du konfigurera den via brandväggen.

Så här felsöker du

Om du upptäcker att klustret fungerar oväntat kan du kontrollera brandväggsloggarna för att se vilken trafik som blockeras.