Share via

تشفير IPSec أثناء النقل لـ Azure HDInsight

  • مقالة

تتناول هذه المقالة تطبيق التشفير أثناء النقل للاتصال بين عُقد نظام المجموعة Azure HDInsight.

خلفية

يقدم Azure HDInsight مجموعة متنوعة من ميزات الأمان لتأمين بيانات المؤسسة. يتم تجميع هذه الحلول ضمن ركائز أمان المحيط والمصادقة والتخويل والتدقيق والتشفير والامتثال. يمكن تطبيق التشفير على البيانات سواء أثناء عدم الاستخدام أو أثناء النقل.

يتم إجراء التشفير أثناء عدم الاستخدام بواسطة تشفير الخادم على حسابات تخزين Azure، فضلاً عن تشفير القرص على أجهزة Azure الظاهرية التي تُعد جزءاً من نظام مجموعة HDInsight الخاص بك.

يتم إجراء تشفير البيانات أثناء النقل على HDInsight بواسطة بروتوكول أمان طبقة النقل (TLS) للوصول إلى بوابات نظام المجموعة ووأمان بروتوكول الإنترنت (IPSec) بين عُقد نظام المجموعة. يمكن تمكين IPSec اختيارياً بين جميع العُقد العاملة وعُقد الحافة وعُقد zookeeper بالإضافة إلى عُقد id broker والبوابة.

تمكين التشفير أثناء النقل

مدخل Azure

لإنشاء نظام مجموعة جديد مع تمكين التشفير أثناء النقل باستخدام مدخل Microsoft Azure، قم بالخطوات التالية:

  1. ابدأ عملية إنشاء نظام المجموعة العادي. راجع إنشاء أنظمة مجموعات HDInsight باستخدام مدخل Microsoft Azure portal لخطوات إنشاء نظام المجموعة الأولي.

  2. أكمل علامتي تبويب أساسيات وتخزين. تابع إلى علامة التبويب أمان + الشبكات.

    Create cluster - security and networking tab.

  3. في علامة التبويب أمان + الشبكات، حدد خانة الاختيار تمكين التشفير أثناء النقل.

    Create cluster - enable encryption in transit.

إنشاء نظام مجموعة مع تمكين التشفير أثناء النقل من خلال Azure CLI

يتم تمكين التشفير أثناء النقل باستخدام الخاصية isEncryptionInTransitEnabled.

يمكنك تنزيل نموذج قالب وملف معلمة. قبل استخدام القالب وقصاصة التعليمات البرمجية لـ Azure CLI أدناه، استبدل العناصر النائبة التالية بقيمها الصحيحة:

Placeholder ‏‏الوصف
<SUBSCRIPTION_ID> معرّف اشتراك Azure الخاص بك
<RESOURCE_GROUP> مجموعة الموارد التي تريد إنشاء نظام المجموعة الجديدة وحساب التخزين فيها.
<STORAGEACCOUNTNAME> حساب التخزين الموجود الذي يجب استخدامه مع نظام المجموعة. يجب أن يكون الاسم بالنموذج ACCOUNTNAME.blob.core.windows.net
<CLUSTERNAME> اسم نظام مجموعة HDInsight الخاص بك.
<PASSWORD> كلمة المرور التي اخترتها لتسجيل الدخول إلى نظام المجموعة باستخدام SSH ولوحة معلومات Ambari.
<VNET_NAME> الشبكة الظاهرية حيث سيتم نشر نظام المجموعة.

تقوم القصاصة البرمجية أدناه بالخطوات الأولية التالية:

  1. تسجيل الدخول إلى حساب Azure الخاص بك.
  2. تعيين الاشتراك النشط حيث سيتم إجراء عمليات الإنشاء.
  3. إنشاء مجموعة موارد جديدة لأنشطة النشر الجديدة.
  4. نشر القالب لإنشاء نظام مجموعة جديد.
az login
az account set --subscription <SUBSCRIPTION_ID>

# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2

az deployment group create --name HDInsightEnterpriseSecDeployment \
    --resource-group <RESOURCEGROUPNAME> \
    --template-file hdinsight-enterprise-security.json \
    --parameters parameters.json

الخطوات التالية