Obecné informace a pokyny zabezpečení podniku ve službě Azure HDInsight

Při nasazování zabezpečeného clusteru HDInsight existují některé osvědčené postupy, které by měly usnadnit správu nasazení a clusteru. Zde jsou popsány některé obecné informace a pokyny.

Použití zabezpečeného clusteru

Doporučené

• Cluster bude současně používat více uživatelů.
• Uživatelé mají různé úrovně přístupu ke stejným datům.

Není nutné

• Budete spouštět jenom automatizované úlohy (jako je jeden uživatelský účet), stačí cluster úrovně Standard.
• Import dat můžete provést pomocí standardního clusteru a použít stejný účet úložiště na jiném zabezpečeném clusteru, kde můžou uživatelé spouštět analytické úlohy.

Použití místního účtu

• Pokud používáte sdílený uživatelský účet nebo místní účet, bude obtížné určit, kdo účet použil ke změně konfigurace nebo služby.
• Používání místních účtů je problematické, když už uživatelé nejsou součástí organizace.

Ranger

Zásady

• Ve výchozím nastavení Používá Ranger jako zásadu Deny .

• Když se přístup k datům provádí prostřednictvím služby, kde je povolená autorizace:

  • Modul plug-in autorizace Ranger je vyvolán a dán kontextem požadavku.
  • Ranger použije zásady nakonfigurované pro službu. Pokud zásady Ranger selžou, kontrola přístupu se odloží do systému souborů. Některé služby, jako je MapReduce, kontrolují pouze to, jestli soubor nebo složka vlastněná stejným uživatelem, který žádost odesílá. Služby, jako je Hive, kontrolují shodu vlastnictví nebo příslušná oprávnění systému souborů (rwx).

• Kromě oprávnění k vytvoření, aktualizaci nebo odstranění by měl rwxmít uživatel oprávnění k adresáři v úložišti a všech podadresáři.

• Zásady se dají použít u skupin (nejlépe) místo jednotlivců.

• Autorizátor Ranger vyhodnotí všechny zásady Rangeru pro danou službu pro každou žádost. Toto vyhodnocení může mít vliv na dobu, kterou trvá přijetí úlohy nebo dotazu.

Přístup k úložišti

• Pokud je typem úložiště WASB, není zahrnut žádný token OAuth.
• Pokud Ranger provedl autorizaci, stane se přístup k úložišti pomocí spravované identity.
• Pokud Ranger neprovádí žádnou autorizaci, stane se přístup k úložišti pomocí tokenu OAuth uživatele.

Hierarchický prostor názvů

Pokud není povolený hierarchický prostor názvů:

• Neexistují žádná zděděná oprávnění.
• Oprávnění systému souborů, které funguje, je role Azure XXXX dat úložiště, která se mají přiřadit uživateli přímo na webu Azure Portal.

Výchozí oprávnění HDFS

• Ve výchozím nastavení nemají uživatelé přístup ke / složce v HDFS (aby bylo možné úspěšně získat přístup, musí být v roli vlastníka objektu blob úložiště).
• Pro přípravný adresář pro mapreduce a další uživatele se vytvoří a poskytne sticky _wx oprávnění pro konkrétní uživatele. Uživatelé můžou vytvářet soubory a složky pod nimi, ale nemůžou se podívat na jiné položky.

Ověřování adresy URL

Pokud je povolené ověřování adresy URL:

• Konfigurace bude obsahovat předpony, které se týkají ověřování adresy URL (například adl://).
• Pokud je přístup pro tuto adresu URL, Ranger zkontroluje, jestli je uživatel v seznamu povolených.
• Ranger nekontroluje žádné z jemně odstupňovaných zásad.

Správa protokolů auditu Rangeru

Pokud chcete zabránit tomu, aby protokoly auditu Ranger spotřebovávají příliš mnoho místa na disku na hlavním uzlu hn0, můžete změnit počet dnů, po které chcete protokoly zachovat.

1. Přihlaste se k uživatelskému rozhraní Ambari.
2. Přejděte na Konfigurace>Rangeru>služeb>Advanced>Ranger-solr-configuration.
3. Změňte hodnotu Max Retention Days (Maximální doba uchovávání) na 7 dnů nebo méně.
4. Vyberte Uložit a restartovat ovlivněné součásti, aby se změna projevila.

Použití vlastní databáze Ranger

Pro zajištění vysoké dostupnosti metadat Rangeru doporučujeme nasadit externí databázi Ranger, která zajistí dostupnost zásad i v případě nedostupnosti clusteru. Vzhledem k tomu, že externí databáze je spravovaná zákazníkem, budete mít také možnost ladit velikost databáze a sdílet databázi napříč několika clustery ESP. Během procesu vytváření clusteru ESP můžete zadat externí databázi Ranger pomocí webu Azure Portal, Azure Resource Manageru, Azure CLI atd.

Nastavení synchronizace uživatele Ranger pro každodenní spuštění

Clustery HDInsight ESP jsou nakonfigurované tak, aby Ranger synchronizoval uživatele AD automaticky každou hodinu. Synchronizace Rangeru je synchronizace uživatele a může způsobit dodatečné zatížení instance AD. Z tohoto důvodu doporučujeme změnit interval synchronizace uživatele Ranger na 24 hodin.

1. Přihlaste se k uživatelskému rozhraní Ambari.
2. Přejděte do služby>Ranger>Configs>Advanced>ranger-ugsync-site.
3. Nastavte vlastnost ranger.usersync.sleeptimeinmillisbetweensynccycle na 86400000 (24h v milisekundách).
4. Vyberte Uložit a restartovat ovlivněné součásti, aby se změna projevila.

Skupiny prostředků

Pro každý cluster použijte novou skupinu prostředků, abyste mohli rozlišovat mezi prostředky clusteru.

Skupiny zabezpečení sítě, brány firewall a interní brána

• K uzamčení virtuálních sítí použijte skupiny zabezpečení sítě (NSG).
• Použijte bránu firewall ke zpracování zásad odchozího přístupu.
• Použijte interní bránu, která není otevřená pro veřejný internet.

Microsoft Entra ID

Microsoft Entra ID (Microsoft Entra ID) je cloudová služba microsoftu pro správu identit a přístupu.

Zásady

• Zakažte zásady podmíněného přístupu pomocí zásad založených na IP adresách. To vyžaduje povolení koncových bodů služby na virtuálních sítích, ve kterých jsou clustery nasazené. Pokud používáte externí službu pro vícefaktorové ověřování (něco jiného než ID Microsoft Entra), zásady založené na IP adresách nebudou fungovat.

• AllowCloudPasswordValidation pro federované uživatele se vyžaduje zásada. Vzhledem k tomu, že HDInsight používá uživatelské jméno a heslo přímo k získání tokenů z ID Microsoft Entra, musí být tato zásada povolená pro všechny federované uživatele.

• Pokud potřebujete obejít podmíněný přístup pomocí důvěryhodných IP adres, povolte koncové body služby.

Skupiny

• Clustery vždy nasaďte se skupinou.
• Ke správě členství ve skupinách použijte Microsoft Entra ID (jednodušší než při pokusu o správu jednotlivých služeb v clusteru).

Uživatelské účty

• Pro každý scénář použijte jedinečný uživatelský účet. Použijte například účet pro import, použijte jiný účet pro úlohy dotazování nebo jiné úlohy zpracování.
• Místo jednotlivých zásad používejte zásady Rangeru založené na skupinách.
• Máte plán, jak spravovat uživatele, kteří by už neměli mít přístup ke clusterům.

Microsoft Entra Domain Services

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, protokol LDAP (Lightweight Directory Access Protocol) a ověřování Kerberos / NTLM, které je plně kompatibilní se službou Windows Server Active Directory.

Služba Microsoft Entra Domain Services se vyžaduje, aby se zabezpečené clustery připojily k doméně. HDInsight nemůže záviset na místních řadičích domény nebo vlastních řadičích domény, protože zavádí příliš mnoho chybových bodů, sdílení přihlašovacích údajů, oprávnění DNS atd. Další informace naleznete v nejčastějších dotazech ke službě Microsoft Entra Domain Services.

Volba správné skladové položky služby Microsoft Entra Domain Services

Při vytváření spravované domény si můžete vybrat z různých skladových položek, které nabízejí různé úrovně výkonu a funkcí. Množství clusterů ESP a dalších aplikací, které budou pro žádosti o ověřování používat instanci služby Microsoft Entra Domain Services, určuje, která skladová položka je vhodná pro vaši organizaci. Pokud si všimnete vysoké využití procesoru ve spravované doméně nebo se změní vaše obchodní požadavky, můžete skladovou položku upgradovat.

Instance služby Microsoft Entra Domain Services

• Vytvořte instanci pomocí příkazu .onmicrosoft.com domain. Tímto způsobem nebude několik serverů DNS obsluhujících doménu.
• Vytvořte certifikát podepsaný svým držitelem pro LDAPS a nahrajte ho do služby Microsoft Entra Domain Services.
• Pro nasazení clusterů použijte partnerský vztah virtuální sítě (pokud máte řadu týmů, které nasazují clustery HDInsight ESP, bude to užitečné). Tím se zajistí, že ve virtuální síti s řadičem domény nemusíte otevírat porty (NSG).
• Správně nakonfigurujte DNS pro virtuální síť (název domény služby Microsoft Entra Domain Services by se měl přeložit bez položek souboru hostitelů).
• Pokud omezujete odchozí provoz, ujistěte se, že jste si přečetli podporu brány firewall ve službě HDInsight.

Zvažte sady replik služby Microsoft Entra Domain Services.

Když vytvoříte spravovanou doménu služby Microsoft Entra Domain Services, definujete jedinečný obor názvů a do vybrané oblasti Azure se pak nasadí dva řadiče domény (DCS). Toto nasazení řadičů domény se označuje jako sada replik. Přidání dalších sad replik zajistí odolnost a zajistí dostupnost ověřovacích služeb, což je důležité pro clustery Azure HDInsight.

Konfigurace synchronizace uživatele nebo skupiny s vymezeným oborem

Když pro cluster ESP povolíte službu Microsoft Entra Domain Services, můžete se rozhodnout synchronizovat všechny uživatele a skupiny z ID Microsoft Entra nebo skupin s vymezeným oborem a jejich členy. Pro zajištění nejlepšího výkonu doporučujeme zvolit synchronizaci s vymezeným oborem.

V případě potřeby je možné upravit vymezenou synchronizaci s různými výběry skupin nebo je v případě potřeby převést na všechny uživatele a skupiny. Pokud neodstraníte a znovu vytvoříte instanci služby Microsoft Entra Domain Services, nemůžete změnit typ synchronizace ze "All" na "Scoped".

Vlastnosti synchronizované z ID Microsoft Entra do služby Microsoft Entra Domain Services

• Microsoft Entra Připojení synchronizuje z místního prostředí do Microsoft Entra ID.
• Služba Microsoft Entra Domain Services se synchronizuje z ID Microsoft Entra.

Služba Microsoft Entra Domain Services pravidelně synchronizuje objekty z ID Microsoft Entra. V okně Microsoft Entra Domain Services na webu Azure Portal se zobrazí stav synchronizace. Během každé fáze synchronizace můžou být jedinečné vlastnosti v konfliktu a přejmenovány. Věnujte pozornost mapování vlastností z ID Microsoft Entra na Microsoft Entra Domain Services.

Další informace naleznete v tématu Microsoft Entra UserPrincipalName population a Jak funguje synchronizace služby Microsoft Entra Domain Services.

Synchronizace hodnot hash hesel

• Hesla se synchronizují jinak než jiné typy objektů. Pouze nevratné hodnoty hash hesel se synchronizují v Microsoft Entra ID a Microsoft Entra Domain Services.
• Místní ID Microsoft Entra musí být povolené prostřednictvím služby AD Připojení
• Synchronizace služby Microsoft Entra Domain Services do služby Microsoft Entra Domain Services je automatická (latence je nižší než 20 minut).
• Hodnoty hash hesel se synchronizují jenom v případech, kdy se změnilo heslo. Když povolíte synchronizaci hodnot hash hesel, nebudou se všechna existující hesla synchronizovat automaticky, protože jsou uložená nevratně. Když změníte heslo, synchronizují se hodnoty hash hesel.

Nastavení synchronizace protokolu Ambari LDAP tak, aby běžela každý den

Proces synchronizace nových uživatelů LDAP s Ambari se automaticky nakonfiguruje tak, aby běžel každou hodinu. Spuštění této hodiny může způsobit nadměrné zatížení hlavních uzlů clusteru a instance AD. Pro zvýšení výkonu doporučujeme změnit skript /opt/startup_scripts/start_ambari_ldap_sync.py, který spustí synchronizaci protokolu Ambari LDAP tak, aby běžela jednou denně. Tento skript se spouští prostřednictvím úlohy crontab a je uložený v adresáři "/etc/cron.hourly/" na hlavním uzly clusteru.

Pokud ho chcete spustit jednou denně, proveďte následující kroky:

1. Připojte se přes SSH k uzlu hn0.
2. Přesuňte skript do denní složky cron: sudo mv /etc/cron.hourly/ambarildapsync /etc/cron.daily/ambarildapsync
3. Použijte změnu v úloze crontab: sudo service cron reload
4. SSH až hn1 a opakujte krok 1 – 3

V případě potřeby můžete pomocí rozhraní Ambari REST API okamžitě synchronizovat nové uživatele a skupiny .

Umístění objektů počítače

Každý cluster je přidružený k jedné organizační jednotce. Interní uživatel je zřízený v organizační jednotky. Všechny uzly jsou připojené k doméně do stejné organizační jednotky.

Nástroje pro správu služby Active Directory

Postup instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem najdete v tématu Instalace nástrojů pro správu.

Řešení problému

Opakované vytváření clusteru selže.

Nejběžnější důvody:

• Konfigurace DNS není správná, připojení k doméně uzlů clusteru selže.
• Skupiny zabezpečení sítě jsou příliš omezující a brání připojení k doméně.
• Spravovaná identita nemá dostatečná oprávnění.
• Název clusteru není jedinečný u prvních šesti znaků (buď s jiným živým clusterem, nebo s odstraněným clusterem).

Nastavení a konfigurace ověřování

Hlavní název uživatele (UPN)

• Pro všechny služby používejte malá písmena – UpN nerozlišují velká a malá písmena v clusterech ESP, ale
• Předpona hlavního názvu uživatele (UPN) by se měla shodovat s názvem SAMAccountName ve službě Microsoft Entra Domain Services. Porovnávání s polem pošty není povinné.

Vlastnosti LDAP v konfiguraci Ambari

Úplný seznam vlastností Ambari, které mají vliv na konfiguraci clusteru HDInsight, najdete v tématu Nastavení ověřování protokolu Ambari LDAP.

Vygenerování tabulek uživatelských klíčů domény

Během procesu vytváření clusteru ESP se automaticky vygenerují všechny klávesové zkratky služby. Pokud chcete povolit zabezpečenou komunikaci mezi clusterem a dalšími službami nebo úlohami, které vyžadují ověření, můžete vygenerovat klávesovou zkratku pro uživatelské jméno vaší domény.

Pomocí nástroje ktutil na jednom z virtuálních počítačů clusteru vytvořte tabulku klíčů Kerberos:

ktutil
ktutil: addent -password -p <username>@<DOMAIN.COM> -k 1 -e aes256-cts-hmac-sha1-96
Password for <username>@<DOMAIN.COM>: <password>
ktutil: wkt <username>.keytab
ktutil: q

Pokud se název tenanta a název domény liší, musíte přidat hodnotu SALT pomocí parametru -s. Zkontrolujte stránku s nejčastějšími dotazy k HDInsightu a zjistěte správnou hodnotu SALT při vytváření klávesové zkratky Kerberos.

Prodloužení platnosti certifikátu LDAP

HDInsight automaticky obnoví certifikáty pro spravované identity, které používáte pro clustery s balíčkem zabezpečení organizace (ESP). Existuje však omezení, pokud se pro služby Microsoft Entra Domain Services a ADLS Gen2 používají různé spravované identity, které by mohly způsobit selhání procesu obnovení. Postupujte podle následujících 2 doporučení a ujistěte se, že vaše certifikáty můžeme úspěšně obnovit:

• Pokud používáte různé spravované identity pro clustery ADLS Gen2 a Microsoft Entra Domain Services, měly by mít oba přiřazené role Vlastník dat objektů blob úložiště a Přispěvatel služby HDInsight Domain Services.
• Clustery HDInsight vyžadují veřejné IP adresy pro aktualizace certifikátů a další údržbu, takže všechny zásady, které odepře veřejnou IP adresu v clusteru, by se měly odebrat.

Další kroky

• Konfigurace balíčků zabezpečení podniku se službou Microsoft Entra Domain Services ve službě HDInsight

• Synchronizujte uživatele Microsoft Entra do clusteru HDInsight.