Aracılığıyla paylaş

Azure portalını kullanarak giden trafiği kısıtlamak için güvenlik duvarını kullanma

  • Makale

Not

31 Ocak 2025'te AKS'de Azure HDInsight'ı kullanımdan kaldırmaya devam edeceğiz. 31 Ocak 2025'den önce, iş yüklerinizin aniden sonlandırılmasını önlemek için iş yüklerinizi Microsoft Fabric'e veya eşdeğer bir Azure ürününe geçirmeniz gerekir. Aboneliğinizdeki kalan kümeler durdurulur ve konaktan kaldırılır.

Önemli

Bu özellik şu anda önizlemededir. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan daha fazla yasal hüküm içerir. Bu belirli önizleme hakkında bilgi için bkz . AKS üzerinde Azure HDInsight önizleme bilgileri. Sorular veya özellik önerileri için lütfen AskHDInsight'ta ayrıntıları içeren bir istek gönderin ve Azure HDInsight Topluluğu hakkında daha fazla güncelleştirme için bizi takip edin.

Bir kuruluş, küme dağıtımları için kendi sanal ağını kullanmak istediğinde, sanal ağın trafiğinin güvenliğini sağlamak önemli hale gelir. Bu makalede, Azure portalını kullanarak Azure Güvenlik Duvarı aracılığıyla AKS kümesindeki HDInsight'ınızdan giden trafiğin güvenliğini sağlama adımları sağlanır.

Aşağıdaki diyagramda, kurumsal senaryo benzetimi yapmak için bu makalede kullanılan örnek gösterilmektedir:

Ağ akışını gösteren diyagram.

Sanal ağı ve alt ağları oluşturma

  1. Bir sanal ağ ve iki alt ağ oluşturun.

    Bu adımda, çıkışı özel olarak yapılandırmak için bir sanal ağ ve iki alt ağ ayarlayın.

    2. Azure portal adımını kullanarak kaynak grubunda sanal ağ oluşturmayı gösteren diyagram.

    Azure portalı 3. adımı kullanarak sanal ağ oluşturmayı ve IP adresini ayarlamayı gösteren diyagram.

    Dördüncü adımda Azure portalını kullanarak sanal ağ oluşturmayı ve IP adresini ayarlamayı gösteren diyagram.

    Önemli

    • alt ağına NSG eklerseniz, belirli giden ve gelen kurallarını el ile eklemeniz gerekir. Trafiği kısıtlamak için NSG'yi kullanın.
    • AKS'de HDInsight varsayılan giden türüne sahip küme havuzu oluşturduğundan ve zaten bir yol tablosuyla ilişkilendirilmiş bir alt ağda küme havuzunu oluşturamadığından alt ağı hdiaks-egress-subnet bir yönlendirme tablosuyla ilişkilendirmeyin.

Azure portalını kullanarak AKS küme havuzunda HDInsight oluşturma

  1. Küme havuzu oluşturma.

    Beş numaralı adımda Azure portalını kullanarak AKS küme havuzunda HDInsight oluşturmayı gösteren diyagram.

    Azure portal 6. adımını kullanarak AKS küme havuzu ağında HDInsight oluşturmayı gösteren diyagram.

  2. AKS küme havuzunda HDInsight oluşturulduğunda alt ağda hdiaks-egress-subnetbir yol tablosu bulabilirsiniz.

    Azure portal 7. adımını kullanarak AKS küme havuzu ağında HDInsight oluşturmayı gösteren diyagram.

Küme havuzunun arkasında oluşturulan AKS kümesi ayrıntılarını alma

Küme havuzu adınızı portalda arayabilir ve AKS kümesine gidebilirsiniz. Örneğin,

Azure portal 8. adımını kullanarak AKS küme havuzu kubernetes ağında HDInsight oluşturmayı gösteren diyagram.

AKS API Sunucusu ayrıntılarını alın.

Azure portal 9. adımını kullanarak AKS küme havuzu kubernetes ağında HDInsight oluşturmayı gösteren diyagram.

Güvenlik duvarı oluşturma

  1. Azure portalını kullanarak güvenlik duvarı oluşturun.

    Azure portalı 10. adımı kullanarak güvenlik duvarı oluşturmayı gösteren diyagram.

  2. Güvenlik duvarının DNS proxy sunucusunu etkinleştirin.

    Azure portalı 11. adımı kullanarak güvenlik duvarı ve DNS proxy'si oluşturmayı gösteren diyagram.

  3. Güvenlik duvarı oluşturulduktan sonra güvenlik duvarı iç IP'sini ve genel IP'yi bulun.

    Azure portalı 12. adım kullanılarak bir güvenlik duvarı ve DNS proxy iç ve genel IP'si oluşturmayı gösteren diyagram.

Güvenlik duvarına ağ ve uygulama kuralları ekleme

  1. Aşağıdaki kurallarla ağ kuralı koleksiyonunu oluşturun.

    Azure portalı 13. adımı kullanarak güvenlik duvarı kuralları eklemeyi gösteren diyagram.

  2. Aşağıdaki kurallarla uygulama kuralı koleksiyonunu oluşturun.

    Azure portalının 14. adımını kullanarak güvenlik duvarı kuralları eklemeyi gösteren diyagram.

Trafiği güvenlik duvarına yönlendirmek için rota tablosunda yol oluşturma

Trafiği güvenlik duvarına yönlendirmek için yönlendirme tablosuna yeni yollar ekleyin.

Azure portal 15. adımını kullanarak yol tablosu girdileri eklemeyi gösteren diyagram.

Azure portal 15. adımını kullanarak yol tablosu girdilerinin nasıl ekleneceğini gösteren diyagram.

Küme oluşturma

Önceki adımlarda trafiği güvenlik duvarına yönlendirdik.

Aşağıdaki adımlar, her küme türü için gereken belirli ağ ve uygulama kuralları hakkında ayrıntılar sağlar. İhtiyacınıza göre Apache Flink, Trino ve Apache Spark kümeleri oluşturmak için küme oluşturma sayfalarına başvurabilirsiniz.

Önemli

Kümeyi oluşturmadan önce trafiğe izin vermek için aşağıdaki kümeye özgü kuralları eklediğinizden emin olun.

Trino

  1. Uygulama kuralı koleksiyonuna aksfwaraşağıdaki kuralları ekleyin.

    Azure portalının 16. adımını kullanarak Trino Kümesi için uygulama kuralları eklemeyi gösteren diyagram.

  2. Ağ kuralı koleksiyonuna aksfwnraşağıdaki kuralı ekleyin.

    Azure portal 16. adımını kullanarak Trino Kümesi için ağ kuralı koleksiyonuna uygulama kuralları eklemeyi gösteren diyagram.

    Not

    Sql.<Region> öğesini, gereksinimlerinize göre bölgenizle değiştirin. Örneğin: Sql.WestEurope

  1. Uygulama kuralı koleksiyonuna aksfwaraşağıdaki kuralı ekleyin.

    Azure portalının 17. adımını kullanarak Apache Flink Kümesi için uygulama kuralları eklemeyi gösteren diyagram.

Apache Spark

  1. Uygulama kuralı koleksiyonuna aksfwaraşağıdaki kuralları ekleyin.

    Azure portalının 18. adımını kullanarak Apache Flink Kümesi için uygulama kuralları eklemeyi gösteren diyagram.

  2. Ağ kuralı koleksiyonuna aksfwnraşağıdaki kuralları ekleyin.

    Azure portalı 18. adım kullanılarak Apache Flink Kümesi için uygulama kurallarının nasıl ekleneceğini gösteren diyagram.

    Not

    1. Sql.<Region> öğesini, gereksinimlerinize göre bölgenizle değiştirin. Örneğin: Sql.WestEurope
    2. Storage.<Region> öğesini, gereksinimlerinize göre bölgenizle değiştirin. Örneğin: Storage.WestEurope

Simetrik yönlendirme sorununu çözme

Aşağıdaki adımlar, küme yük dengeleyici giriş hizmetine göre küme isteğinde bulunmamıza ve ağ yanıt trafiğinin güvenlik duvarına akmadığından emin olmamıza olanak tanır.

Yanıt trafiğini istemci IP'nize İnternet'e yönlendirmek için yol tablosuna bir yol ekleyin ve ardından kümeye doğrudan ulaşabilirsiniz.

19. adımda yol tablosu girişi eklemeyle ilgili simetrik yönlendirme sorununu çözmeyi gösteren diyagram.

Kümeye ulaşamıyorsanız ve NSG'yi yapılandırdıysanız trafiği trafiğe izin verecek şekilde kısıtlamak için NSG'yi kullanın.

İpucu

Daha fazla trafiğe izin vermek istiyorsanız, bunu güvenlik duvarı üzerinden yapılandırabilirsiniz.

Hata Ayıklama

Kümenin beklenmedik şekilde çalıştığını fark ederseniz, hangi trafiğin engellendiğini bulmak için güvenlik duvarı günlüklerini denetleyebilirsiniz.