Enkripsi IPSec saat transit untuk Azure HDInsight
Artikel ini membahas implementasi enkripsi saat transit untuk komunikasi antar node kluster Azure HDInsight.
Latar belakang
Azure HDInsight menawarkan berbagai fitur keamanan untuk mengamankan data perusahaan Anda. Solusi ini dikelompokkan dalam grup keamanan perimeter, autentikasi, otorisasi, audit, enkripsi, dan kepatuhan. Enkripsi dapat diterapkan ke data baik saat masa jeda maupun saat transit.
Enkripsi saat masa jeda dicakup oleh enkripsi sisi server pada akun penyimpanan Azure serta enkripsi disk pada Azure VM yang merupakan bagian dari kluster HDInsight Anda.
Enkripsi data dalam transit pada HDInsight dicapai dengan Transport Layer Security (TLS) untuk mengakses gateway kluster dan Internet Protocol Security (IPSec) antar node kluster. IPSec dapat diaktifkan secara opsional antara semua simpul kepala, simpul pekerja, simpul tepi, simpul zookeeper serta gateway dan node broker ID.
Mengaktifkan enkripsi saat transit
Portal Azure
Untuk membuat kluster baru dengan enkripsi aktif saat transit menggunakan portal Microsoft Azure, lakukan langkah-langkah berikut:
Mulai proses pembuatan kluster normal. Lihat Membuat kluster berbasis Linux di HDInsight menggunakan portal Microsoft Azure untuk langkah-langkah pembuatan kluster awal.
Selesaikan tab Dasar dan Penyimpanan. Lanjutkan ke tab Keamanan + Jaringan.
Pada tab Keamanan + Jaringan, pilih kotak centang Aktifkan enkripsi saat transit.
Membuat kluster dengan enkripsi dalam transit yang diaktifkan melalui Azure CLI
Enkripsi saat transit diaktifkan menggunakan properti isEncryptionInTransitEnabled.
Anda dapat mengunduh contoh templat dan file parameter. Sebelum menggunakan templat dan cuplikan kode Azure CLI di bawah ini, ganti placeholder berikut ini dengan nilai yang benar:
| Placeholder | Deskripsi |
|---|---|
<SUBSCRIPTION_ID> |
ID langganan Azure Anda |
<RESOURCE_GROUP> |
Grup sumber daya tempat Anda ingin membuat kluster dan akun penyimpanan baru. |
<STORAGEACCOUNTNAME> |
Akun penyimpanan yang ada yang harus digunakan dengan kluster. Nama harus dalam bentuk ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
Nama kluster HDInsight Anda. |
<PASSWORD> |
Kata sandi yang Anda pilih untuk masuk ke kluster menggunakan SSH dan dasbor Ambari. |
<VNET_NAME> |
Jaringan virtual tempat kluster disebarkan. |
Cuplikan kode di bawah ini melakukan langkah-langkah awal berikut:
- Masuk ke akun Azure Anda.
- Atur langganan aktif tempat operasi pembuatan akan dilakukan.
- Buat grup sumber daya baru untuk aktivitas penyebaran baru.
- Sebarkan templat untuk membuat kluster baru.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk