Configure políticas de ponto de extremidade de serviço de rede virtual para Azure HDInsight

Este artigo fornece informações sobre como implementar políticas de ponto de extremidade de serviço em redes virtuais com o Azure HDInsight.

Segundo plano

O Azure HDInsight permite que você crie clusters em sua própria rede virtual. Se você precisar permitir o tráfego de saída de sua rede virtual para outros serviços do Azure, como contas de armazenamento, poderá criar políticas de ponto de extremidade de serviço. As políticas de ponto de extremidade de serviço criadas por meio do portal do Azure, no entanto, só permitem que você crie uma política para uma única conta, todas as contas em uma assinatura ou todas as contas em um grupo de recursos.

No entanto, como é um serviço gerenciado, Azure HDInsight coleta arquivos de dados e de log de cada cluster em contas de armazenamento específicas em cada região. Para que esses dados cheguem ao HDInsight de sua rede virtual, é necessário criar políticas de ponto de extremidade de serviço que permitam o tráfego de saída para pontos de coleta de dados específicos, gerenciados pelo Azure HDInsight.

Políticas de ponto de extremidade de serviço para HDInsight

Essas políticas de ponto de extremidade de serviço são compatíveis com as seguintes funcionalidade:

• Coleção de logs e telemetria na criação do cluster, execução de trabalho e operações de plataforma, por exemplo, dimensionamento.
• Anexar VHDs (discos rígidos virtuais) a nós de cluster recém-criados para provisionar software e bibliotecas em seu cluster.

Se as políticas de ponto de extremidade de serviço não forem criadas para habilitar esse fluxo de dados, a criação do cluster pode falhar e o Azure HDInsight não poderá fornecer suporte para seus clusters.

Crie políticas de ponto de extremidade de serviço para HDInsight

Verifique se as políticas de ponto de extremidade de serviço corretas estão anexadas à sua rede virtual, antes de criar novos clusters. Caso contrário, a criação do cluster poderá falhar ou resultar em erro.

Use o processo a seguir para criar as políticas de ponto de extremidade de serviço necessárias:

1. Decida a região onde você criará seu cluster do HDInsight.

2. Pesquise essa região na lista de recursos de política de ponto de extremidade de serviço, que fornece todos os grupos de recursos para contas de armazenamento de gerenciamento do HDInsight.

3. Selecione a lista de grupos de recursos para sua região. Um exemplo dos recursos para Canada Central é mostrado abaixo:

   "Canada Central":[
       "/subscriptions/235d341f-7fb9-435c-9bdc-034b7306c9b4/resourceGroups/Default-Storage-WestUS",
       "/subscriptions/da0c4c68-9283-4f88-9c35-18f7bd72fbdd/resourceGroups/GenevaWarmPathManageRG",
       "/subscriptions/6a853a41-3423-4167-8d9c-bcf37dc72818/resourceGroups/GenevaWarmPathManageRG",
       "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/Default-Storage-CanadaCentral",
       "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/cancstorage",
       "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/GenevaWarmPathManageRG",
       "/subscriptions/fb3429ab-83d0-4bed-95e9-1a8e9455252c/resourceGroups/DistroStorageRG/providers/Microsoft.Storage/storageAccounts/hdi31distrorelease",
       "/subscriptions/fb3429ab-83d0-4bed-95e9-1a8e9455252c/resourceGroups/DistroStorageRG/providers/Microsoft.Storage/storageAccounts/bigdatadistro"
   ],
   

4. Insira essa lista de grupos de recursos no script de instalação escrito na CLI do Azure ou Azure PowerShell.

   $subscriptionId = "<subscription id>"
   $rgName="<resource group name> "
   $location="<location name>"
   $vnetName="<vnet name>"
   $subnetName="<subnet name>"
   $sepName="<service endpoint policy name>"
   $sepDefName="<service endpoint policy definition name>"
   
   # Set to the right subscription ID
   az account set --subscription $subscriptionId
   
   # setup service endpoint on the virtual network subnet
   az network vnet subnet update -g $rgName --vnet-name $vnetName -n $subnetName --service-endpoints Microsoft.Storage
   
   # Create Service Endpoint Policy
   az network service-endpoint policy create -g $rgName  -n $sepName -l $location
   
   # Insert the list of HDInsight owned resources for the region your clusters will be created in.
   # Be sure to get the most recent list of resource groups from the [list of service endpoint policy resources](https://github.com/Azure-Samples/hdinsight-enterprise-security/blob/main/hdinsight-service-endpoint-policy-resources.json)
   [String[]]$resources = @("/subscriptions/235d341f-7fb9-435c-9bdc-034b7306c9b4/resourceGroups/Default-Storage-WestUS",`
   "/subscriptions/da0c4c68-9283-4f88-9c35-18f7bd72fbdd/resourceGroups/GenevaWarmPathManageRG",`
   "/subscriptions/6a853a41-3423-4167-8d9c-bcf37dc72818/resourceGroups/GenevaWarmPathManageRG",`
   "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/Default-Storage-CanadaCentral",`
   "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/cancstorage",`
   "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/GenevaWarmPathManageRG",
   "/subscriptions/fb3429ab-83d0-4bed-95e9-1a8e9455252c/resourceGroups/DistroStorageRG/providers/Microsoft.Storage/storageAccounts/hdi31distrorelease",
   "/subscriptions/fb3429ab-83d0-4bed-95e9-1a8e9455252c/resourceGroups/DistroStorageRG/providers/Microsoft.Storage/storageAccounts/bigdatadistro")
   
   #Assign service resources to the SEP policy.
   az network service-endpoint policy-definition create -g $rgName --policy-name $sepName -n $sepDefName --service "Microsoft.Storage" --service-resources $resources
   
   # Associate a subnet to the service endpoint policy just created. If there is a delay in updating it to subnet, you can use the Azure portal to associate the policy with the subnet.
   az network vnet subnet update -g $rgName --vnet-name $vnetName -n $subnetName --service-endpoint-policy $sepName
   

   Se você preferir configurar sua política de ponto de extremidade de serviço usando o PowerShell, use o trecho de código a seguir.

   #Script to assign SEP 
   $subscriptionId = "<subscription id>"
   $rgName = "<resource group name>"
   $vnetName = "<vnet name>"
   $subnetName = "<subnet Name"
   $location = "Canada Central"
   
   # Connect to your Azure Account
   Connect-AzAccount
   
   # Select the Subscription that you want to use
   Select-AzSubscription -SubscriptionId $subscriptionId
   
   # Retrieve VNet Config
   $vnet = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
   
   # Retrieve Subnet Config
   $subnet = Get-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet
   
   # Insert the list of HDInsight owned resources for the region your clusters will be created in.
   # Be sure to get the most recent list of resource groups from the [list of service endpoint policy resources](https://github.com/Azure-Samples/hdinsight-enterprise-security/blob/main/hdinsight-service-endpoint-policy-resources.json)
   [String[]]$resources = @("/subscriptions/235d341f-7fb9-435c-9bdc-034b7306c9b4/resourceGroups/Default-Storage-WestUS",
   "/subscriptions/da0c4c68-9283-4f88-9c35-18f7bd72fbdd/resourceGroups/GenevaWarmPathManageRG",
   "/subscriptions/6a853a41-3423-4167-8d9c-bcf37dc72818/resourceGroups/GenevaWarmPathManageRG",
   "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/Default-Storage-CanadaCentral",
   "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/cancstorage",
   "/subscriptions/c8845df8-14d1-4a46-b6dd-e0c44ae400b0/resourceGroups/GenevaWarmPathManageRG",
   "/subscriptions/fb3429ab-83d0-4bed-95e9-1a8e9455252c/resourceGroups/DistroStorageRG/providers/Microsoft.Storage/storageAccounts/hdi31distrorelease",
   "/subscriptions/fb3429ab-83d0-4bed-95e9-1a8e9455252c/resourceGroups/DistroStorageRG/providers/Microsoft.Storage/storageAccounts/bigdatadistro")
   
   #Declare service endpoint policy definition
   $sepDef = New-AzServiceEndpointPolicyDefinition -Name "SEPHDICanadaCentral" -Description "Service Endpoint Policy Definition" -Service "Microsoft.Storage" -ServiceResource $resources
   
   # Service Endpoint Policy
   $sep= New-AzServiceEndpointPolicy -ResourceGroupName $rgName -Name "SEPHDICanadaCentral" -Location $location -ServiceEndpointPolicyDefinition $sepDef
   
   # Associate a subnet to the service endpoint policy just created. If there is a delay in updating it to subnet, you can use the Azure portal to associate the policy with the subnet.
   Set-AzVirtualNetworkSubnetConfig -Name $subnetName -VirtualNetwork $vnet -AddressPrefix $subnet.AddressPrefix -ServiceEndpointPolicy $sep
   

Importante

É recomendável que você obtenha a mais recente lista de recursos de política de ponto de extremidade de serviço de maneira programada manualmente ou por meio de automação. Isso evitará problemas de CRUD quando grupos de recursos adicionais forem adicionados ao arquivo JSON ou removidos dele.

Próximas etapas

• Arquitetura de rede virtual do Azure HDInsight
• Configurar solução de virtualização de rede