IPSec-versleuteling in transit voor Azure HDInsight
In dit artikel wordt de implementatie van versleuteling in transit besproken voor communicatie tussen Azure HDInsight-clusterknooppunten.
Achtergrond
Azure HDInsight biedt diverse beveiligingsfuncties voor het beveiligen van uw bedrijfsgegevens. Deze oplossingen worden gegroepeerd onder de pijlers van perimeterbeveiliging, verificatie, autorisatie, controle, versleuteling en naleving. Versleuteling kan zowel at-rest als in transit worden toegepast op gegevens.
Versleuteling at rest wordt gedekt door versleuteling aan de serverzijde van Azure-opslagaccounts, evenals schijfversleuteling op de Azure-VM's die deel uitmaken van uw HDInsight-cluster.
Versleuteling van gegevens die onderweg zijn in HDInsight wordt bereikt met TLS (Transport Layer Security) voor toegang tot de clustergateways en IPSec (Internet Protocol Security) tussen clusterknooppunten. IPSec kan optioneel worden ingeschakeld tussen alle hoofdknooppunten, werkknooppunten, edge-knooppunten, zookeeper-knooppunten en gateway- en ID-brokerknooppunten .
Versleuteling in transit inschakelen
Azure Portal
Voer de volgende stappen uit om een nieuw cluster te maken met versleuteling in transit ingeschakeld met behulp van Azure Portal:
Begin het normale proces voor het maken van clusters. Zie Op Linux gebaseerde clusters maken in HDInsight met behulp van Azure Portal voor de eerste stappen voor het maken van clusters.
Voltooi de tabbladen Basisinformatie en Opslag . Ga door naar het tabblad Beveiliging en netwerken .
Schakel op het tabblad Beveiliging en netwerken het selectievakje Versleuteling in transit inschakelen in.
Een cluster maken met versleuteling in transit ingeschakeld via de Azure CLI
Versleuteling in transit is ingeschakeld met behulp van de isEncryptionInTransitEnabled eigenschap.
U kunt een voorbeeldsjabloon en parameterbestand downloaden. Voordat u de sjabloon en het onderstaande Azure CLI-codefragment gebruikt, vervangt u de volgende tijdelijke aanduidingen door de juiste waarden:
| Plaatsaanduiding | Beschrijving |
|---|---|
<SUBSCRIPTION_ID> |
De id van uw Azure-abonnement |
<RESOURCE_GROUP> |
De resourcegroep waar u het nieuwe cluster en opslagaccount wilt maken. |
<STORAGEACCOUNTNAME> |
Het bestaande opslagaccount dat moet worden gebruikt met het cluster. De naam moet van het formulier zijn ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
De naam van uw HDInsight-cluster. |
<PASSWORD> |
Het gekozen wachtwoord voor het aanmelden bij het cluster met behulp van SSH en het Ambari-dashboard. |
<VNET_NAME> |
Het virtuele netwerk waar het cluster wordt geïmplementeerd. |
In het onderstaande codefragment worden de volgende eerste stappen uitgevoerd:
- Meldt u aan bij uw Azure-account.
- Hiermee stelt u het actieve abonnement in waar de maakbewerkingen worden uitgevoerd.
- Hiermee maakt u een nieuwe resourcegroep voor de nieuwe implementatieactiviteiten.
- Implementeer de sjabloon om een nieuw cluster te maken.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor