Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje implementaci šifrování při přenosu pro komunikaci mezi uzly clusteru Azure HDInsight.
Pozadí
Azure HDInsight nabízí celou řadu funkcí zabezpečení pro zabezpečení podnikových dat. Tato řešení se seskupují do pilířů zabezpečení hraniční sítě, ověřování, autorizace, auditování, šifrování a dodržování předpisů. Šifrování lze aplikovat na data uložená i přenášená.
Šifrování dat v klidu je zajištěno šifrováním na straně serveru v účtech úložiště Azure a také šifrováním disků na virtuálních počítačích Azure, které jsou součástí vašeho clusteru HDInsight.
Šifrování přenášených dat ve službě HDInsight se dosahuje pomocí protokolu TLS (Transport Layer Security) pro přístup k branám clusteru a protokolu IPsec (Internet Protocol Security) mezi uzly clusteru. Protokol IPsec je možné volitelně povolit mezi všemi hlavními uzly, pracovními uzly, hraničními uzly, uzly zookeeper, uzly brány a ID zprostředkovatele.
Povolení šifrování během přenosu
portál Azure
Pokud chcete vytvořit nový cluster s povoleným šifrováním při přenosu pomocí webu Azure Portal, postupujte následovně:
Zahajte normální proces vytváření clusteru. Postup vytvoření počátečního clusteru najdete v tématu Vytváření clusterů založených na Linuxu ve službě HDInsight pomocí webu Azure Portal .
Vyplňte karty Základy a Úložiště. Přejděte na kartu Zabezpečení a sítě .
Na kartě Zabezpečení a sítě zaškrtněte políčko Povolit šifrování během přenosu.
Vytvořit cluster s povoleným šifrováním při přenosu prostřednictvím Azure CLI
Šifrování během přenosu je povoleno pomocí isEncryptionInTransitEnabled vlastnosti.
Můžete si stáhnout ukázkovou šablonu a soubor parametrů. Před použitím šablony a fragmentu kódu Azure CLI níže nahraďte následující zástupné symboly správnými hodnotami:
| Zástupný symbol | Popis |
|---|---|
<SUBSCRIPTION_ID> |
ID předplatného Azure |
<RESOURCE_GROUP> |
Skupina prostředků, ve které chcete vytvořit nový klastr a účet úložiště. |
<STORAGEACCOUNTNAME> |
Existující účet úložiště, který se má použít s clusterem. Název by měl být ve tvaru ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
Název clusteru HDInsight. |
<PASSWORD> |
Zvolené heslo pro přihlášení ke clusteru pomocí SSH a řídicího panelu Ambari. |
<VNET_NAME> |
Virtuální síť, do které se cluster nasadí. |
Následující fragment kódu provede následující počáteční kroky:
- Přihlaste se ke svému účtu Azure.
- Nastaví aktivní předplatné, ve kterém se budou provádět operace vytváření.
- Vytvoří novou skupinu prostředků pro nové implementační aktivity.
- Nasaďte šablonu pro vytvoření nového clusteru.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json