Megosztás a következőn keresztül:

IpSec-titkosítás átvitel közben az Azure HDInsighthoz

  • Cikk

Ez a cikk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításának átvitele során történő megvalósítását ismerteti.

Háttér

Az Azure HDInsight számos biztonsági funkciót kínál a vállalati adatok védelméhez. Ezek a megoldások a szegélybiztonság, a hitelesítés, az engedélyezés, a naplózás, a titkosítás és a megfelelőség pillérei alá vannak csoportosítva. A titkosítás az inaktív és az átvitel alatt álló adatokra is alkalmazható.

A inaktív állapotú titkosítást az Azure Storage-fiókok kiszolgálóoldali titkosítása, valamint a HDInsight-fürt részét képező Azure-beli virtuális gépek lemeztitkosítása biztosítja.

A HDInsighton áthaladó adatok titkosítása a Transport Layer Security (TLS) használatával érhető el a fürtátjárók és az IpSec(IPSec) fürtcsomópontok közötti eléréséhez. Az IPSec opcionálisan engedélyezhető az összes fő csomópont, feldolgozó csomópont, peremcsomópont, zookeeper csomópont, valamint átjáró- és azonosító-közvetítő csomópont között.

Titkosítás engedélyezése átvitel közben

Azure Portal

Ha új fürtöt szeretne létrehozni, amelyen engedélyezve van az átvitel közbeni titkosítás az Azure Portalon, hajtsa végre az alábbi lépéseket:

  1. Kezdje el a normál fürtlétrehozás folyamatát. A kezdeti fürtlétrehozáshoz tekintse meg a Linux-alapú fürtök HDInsightban való létrehozását az Azure Portal használatával.

  2. Töltse ki az Alapszintű és tárolási lapokat. Lépjen a Biztonság + Hálózat lapra.

    Fürt létrehozása – biztonság és hálózatkezelés lap.

  3. A Biztonság és hálózatkezelés lapon jelölje be a Titkosítás engedélyezése az átvitelben jelölőnégyzetet.

    Fürt létrehozása – titkosítás engedélyezése átvitel közben.

Fürt létrehozása átvitel közbeni titkosítással az Azure CLI-vel

Az átvitel közbeni titkosítás engedélyezve van a isEncryptionInTransitEnabled tulajdonság használatával.

Letölthet egy mintasablont és paraméterfájlt. A sablon és az alábbi Azure CLI-kódrészlet használata előtt cserélje le a következő helyőrzőket a megfelelő értékekre:

Helyőrző Leírás
<SUBSCRIPTION_ID> Az Azure-előfizetés azonosítója
<RESOURCE_GROUP> Az az erőforráscsoport, amelyben létre szeretné hozni az új fürtöt és tárfiókot.
<STORAGEACCOUNTNAME> A fürthöz használandó meglévő tárfiók. A névnek az űrlapnak kell lennie ACCOUNTNAME.blob.core.windows.net
<CLUSTERNAME> A HDInsight-fürt neve.
<PASSWORD> A fürtbe az SSH és az Ambari irányítópult használatával való bejelentkezéshez választott jelszó.
<VNET_NAME> Az a virtuális hálózat, ahol a fürt üzembe lesz helyezve.

Az alábbi kódrészlet a következő kezdeti lépéseket hajtja végre:

  1. Bejelentkezik az Azure-fiókjába.
  2. Beállítja azt az aktív előfizetést, amelyben a létrehozási műveletek el lesznek végezve.
  3. Létrehoz egy új erőforráscsoportot az új üzembehelyezési tevékenységekhez.
  4. Helyezze üzembe a sablont egy új fürt létrehozásához.
az login
az account set --subscription <SUBSCRIPTION_ID>

# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2

az deployment group create --name HDInsightEnterpriseSecDeployment \
    --resource-group <RESOURCEGROUPNAME> \
    --template-file hdinsight-enterprise-security.json \
    --parameters parameters.json

Következő lépések