IpSec-titkosítás átvitel közben az Azure HDInsighthoz
Ez a cikk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításának átvitele során történő megvalósítását ismerteti.
Háttér
Az Azure HDInsight számos biztonsági funkciót kínál a vállalati adatok védelméhez. Ezek a megoldások a szegélybiztonság, a hitelesítés, az engedélyezés, a naplózás, a titkosítás és a megfelelőség pillérei alá vannak csoportosítva. A titkosítás az inaktív és az átvitel alatt álló adatokra is alkalmazható.
A inaktív állapotú titkosítást az Azure Storage-fiókok kiszolgálóoldali titkosítása, valamint a HDInsight-fürt részét képező Azure-beli virtuális gépek lemeztitkosítása biztosítja.
A HDInsighton áthaladó adatok titkosítása a Transport Layer Security (TLS) használatával érhető el a fürtátjárók és az IpSec(IPSec) fürtcsomópontok közötti eléréséhez. Az IPSec opcionálisan engedélyezhető az összes fő csomópont, feldolgozó csomópont, peremcsomópont, zookeeper csomópont, valamint átjáró- és azonosítóközvetítő csomópont között.
Titkosítás engedélyezése átvitel közben
Azure Portal
Ha új fürtöt szeretne létrehozni, amelyen engedélyezve van az átvitel közbeni titkosítás az Azure Portalon, hajtsa végre az alábbi lépéseket:
Kezdje el a normál fürtlétrehozás folyamatát. A kezdeti fürtlétrehozáshoz tekintse meg a Linux-alapú fürtök HDInsightban való létrehozását az Azure Portal használatával.
Töltse ki az Alapszintű és tárolási lapokat. Lépjen a Biztonság + Hálózat lapra.
A Biztonság és hálózatkezelés lapon jelölje be a Titkosítás engedélyezése az átvitelben jelölőnégyzetet.
Fürt létrehozása átvitel közbeni titkosítással az Azure CLI-vel
Az átvitel közbeni titkosítás engedélyezve van a isEncryptionInTransitEnabled tulajdonság használatával.
Letölthet egy mintasablont és paraméterfájlt. A sablon és az alábbi Azure CLI-kódrészlet használata előtt cserélje le a következő helyőrzőket a megfelelő értékekre:
| Helyőrző | Leírás |
|---|---|
<SUBSCRIPTION_ID> |
Az Azure-előfizetés azonosítója |
<RESOURCE_GROUP> |
Az az erőforráscsoport, amelyben létre szeretné hozni az új fürtöt és tárfiókot. |
<STORAGEACCOUNTNAME> |
A fürthöz használandó meglévő tárfiók. A névnek az űrlapnak kell lennie ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
A HDInsight-fürt neve. |
<PASSWORD> |
A fürtbe az SSH és az Ambari irányítópult használatával való bejelentkezéshez választott jelszó. |
<VNET_NAME> |
Az a virtuális hálózat, ahol a fürt üzembe lesz helyezve. |
Az alábbi kódrészlet a következő kezdeti lépéseket hajtja végre:
- Bejelentkezik az Azure-fiókjába.
- Beállítja azt az aktív előfizetést, amelyben a létrehozási műveletek el lesznek végezve.
- Létrehoz egy új erőforráscsoportot az új üzembehelyezési tevékenységekhez.
- Helyezze üzembe a sablont egy új fürt létrehozásához.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: