مشاركة عبر

تكوين نسبة استخدام الشبكة الصادرة لمجموعات Azure HDInsight باستخدام جدار الحماية

  • مقالة

توفر هذه المقالة خطوات لك لتأمين نسبة استخدام الشبكة الصادرة من مجموعة HDInsight باستخدام Azure Firewall. تفترض الخطوات أدناه أنك تقوم بتكوين جدار حماية Azure Firewall لمجموعة موجودة. إذا كنت تقوم بتوزيع مجموعة جديدة خلف جدار حماية، فقم بإنشاء مجموعة HDInsight والشبكة الفرعية أولاً. ثم اتبع الخطوات الواردة في هذا الدليل.

خلفية

يتم نشر مجموعات HDInsight عادةً في شبكة افتراضية. نظام المجموعة لها تبعيات على خدمات خارج تلك الشبكة الافتراضية.

لا يمكن إرسال حركة مرور الإدارة الواردة من خلال جدار حماية. يمكنك استخدام علامات خدمة NSG لنسبة استخدام الشبكة الواردة كما هو موثق هنا.

يتم تحديد تبعيات حركة مرور HDInsight الصادرة بالكامل تقريباً باستخدام FQDNs. التي لا تحتوي على عناوين IP ثابتة خلفها. يعني عدم وجود عناوين ثابتة أن مجموعات أمان الشبكة (NSGs) لا يمكنها تأمين نسبة استخدام الشبكة الصادرة من مجموعة. تتغير عناوين IP في كثير من الأحيان بما يكفي بحيث لا يمكن للمرء إعداد القواعد بناءً على تحليل الاسم الحالي واستخدامه.

تأمين العناوين الصادرة بجدار حماية يمكنه التحكم في نسبة استخدام الشبكة الصادرة بناءً على شبكات FQDN. يقيد Azure Firewall نسبة استخدام الشبكة الصادرة بناءً على FQDN للوجهة أو علامات FQDN.

تكوين Azure Firewall باستخدام HDInsight

ملخص لخطوات تأمين الخروج من HDInsight الموجود لديك باستخدام Azure Firewall هي:

  1. قم بإنشاء شبكة فرعية.
  2. قم بإنشاء جدار حماية.
  3. Add application قواعد لجدار الحماية.
  4. أضف قواعد الشبكة إلى جدار الحماية.
  5. إنشاء جدول مسارات.

إنشاء شبكة فرعية جديدة

قم بإنشاء شبكة فرعية باسم AzureFirewallSubnet في الشبكة الافتراضية حيث يوجد نظام المجموعة الخاص بك.

قم بإنشاء جدار حماية جديد للمجموعة الخاصة بك

أنشئ جدار حماية باسم Test-FW01 باستخدام الخطوات الواردة في نشر جدار الحماية في البرنامج التعليمي: نشر وتكوين Azure Firewall باستخدام مدخل Microsoft Azure.

تكوين جدار الحماية بقواعد التطبيق

قم بإنشاء مجموعة قواعد تطبيق تسمح للمجموعة بإرسال واستقبال الاتصالات المهمة.

  1. حدد جدار الحماية الجديد Test-FW01 من مدخل Microsoft Azure.

  2. انتقل إلى Settings>Rules>Application rule collection>+ Add application rule collection.

    العنوان: إضافة مجموعة قواعد التطبيق.

  3. في شاشة إضافة مجموعة قواعد التطبيق، قم بتوفير المعلومات التالية:

    القسم العلوي

    الخاصية القيمة
    الاسم FwAppRule
    أولوية 200
    الإجراء السماح

    قسم علامات FQDN

    الاسم عنوان المصدر علامة اسم مجال مؤهل بالكامل (FQDN) ملاحظات
    Rule_1 * WindowsUpdate وHDInsight مطلوب لخدمات HDI

    قسم FQDNs المستهدف

    الاسم العناوين المصدر البروتوكول: المنفذ الهدف FQDNS ملاحظات
    Rule_2 * https:443 login.windows.net يسمح بنشاط تسجيل الدخول إلى Windows
    Rule_3 * https:443 login.microsoftonline.com يسمح بنشاط تسجيل الدخول إلى Windows
    Rule_4 * https:443 storage_account_name.blob.core.windows.net استبدل storage_account_name باسم حساب التخزين الفعلي. تأكد من تمكين "النقل الآمن المطلوب" في حساب التخزين. إذا كنت تستخدم نقطة نهاية خاصة للوصول إلى حسابات التخزين، فلن تكون هذه الخطوة ضرورية ولن تتم إعادة توجيه حركة مرور التخزين إلى جدار الحماية.
    Rule_5 * http:80 azure.archive.ubuntu.com يسمح بتثبيت تحديثات أمان Ubuntu على نظام المجموعة

    العنوان: أدخل تفاصيل مجموعة قواعد التطبيق.

  4. حدد إضافة.

تكوين جدار الحماية بقواعد الشبكة

قم بإنشاء قواعد الشبكة لتكوين مجموعة HDInsight الخاصة بك بشكل صحيح.

  1. متابعة من الخطوة السابقة، انتقل إلى مجموعة>+ Add network rule collection قواعد الشبكة.

  2. على Add network rule collection الشاشة، قم بتوفير المعلومات التالية:

    القسم العلوي

    الخاصية القيمة
    الاسم FwNetRule
    أولوية 200
    الإجراء السماح

    قسم علامات الخدمة

    الاسم البروتوكول عناوين المصدر علامات الخدمة منافذ الوجهة ملاحظات
    Rule_6 TCP * SQL 1433, 11000-11999 إذا كنت تستخدم خوادم sql الافتراضية التي يوفرها HDInsight، فقم بتكوين قاعدة شبكة في قسم علامات الخدمة لـ SQL والتي ستتيح لك تسجيل ومراجعة حركة مرور SQL. ما لم تقم بتكوين نقاط نهاية الخدمة لـ SQL Server على الشبكة الفرعية HDInsight، والتي ستتجاوز جدار الحماية. إذا كنت تستخدم خادم SQL مخصصا ل Ambari وOozie وRanger وHive metastore، فأنت تحتاج فقط إلى السماح بنسبة استخدام الشبكة إلى خوادم SQL المخصصة الخاصة بك. ارجع إلى قاعدة بيانات Azure SQL وبنية اتصال Azure Synapse Analytics لمعرفة سبب الحاجة أيضاً إلى نطاق منفذ 11000-11999 بالإضافة إلى 1433.
    Rule_7 TCP * Azure Monitor * (اختياري) يجب على العملاء الذين يخططون لاستخدام ميزة المقياس التلقائي إضافة هذه القاعدة.

    العنوان: أدخل مجموعة قواعد التطبيق.

  3. حدد إضافة.

إنشاء وتكوين جدول توجيه

قم بإنشاء جدول مسار بالإدخالات التالية:

  • جميع عناوين IP من خدمات الصحة والإدارة بنوع الخطوة التالية من الإنترنت . يجب أن تتضمن 4 عناوين IP للمناطق العامة بالإضافة إلى 2 IPs لمنطقتك المحددة. هذه القاعدة مطلوبة فقط إذا تم تعيين ResourceProviderConnection على Inbound . إذا تم تعيين ResourceProviderConnection على Outbound فلن تكون هناك حاجة لعناوين IP هذه في UDR.

  • مسار جهاز ظاهري واحد لعنوان IP 0.0.0.0/0 مع الخطوة التالية وهي عنوان IP الخاص بجدار حماية Azure.

على سبيل المثال، لتكوين جدول التوجيه لمجموعة تم إنشاؤها في منطقة "شرق الولايات المتحدة" بالولايات المتحدة، استخدم الخطوات التالية:

  1. حدد جدار حماية Azure المسمى Test-FW01. انسخ عنوان IP الخاص المدرج في صفحة نظرة عامة . في هذا المثال، سنستخدم نموذجاً لعنوان 10.0.2.4 .

  2. ثم انتقل إلى جميع الخدمات > الشبكات > جداول المسار و إنشاء جدول المسار .

  3. من مسارك الجديد، انتقل إلى الإعدادات > المسارات > + إضافة . أضف المسارات التالية:

Route name بادئة العنوان نوع القفزة التالية Next hop address
168.61.49.99 168.61.49.99/32 الإنترنت غير متوفرة
23.99.5.239 23.99.5.239/32 الإنترنت غير متوفرة
168.61.48.131 168.61.48.131/32 الإنترنت غير متوفرة
138.91.141.162 138.91.141.162/32 الإنترنت غير متوفرة
13.82.225.233 13.82.225.233/32 الإنترنت غير متوفرة
40.71.175.99 40.71.175.99/32 الإنترنت غير متوفرة
0.0.0.0 0.0.0.0/0 جهاز ظاهري 10.0.2.4

أكمل تكوين جدول الطريق:

  1. قم بتعيين جدول التوجيه الذي أنشأته لشبكة HDInsight الفرعية الخاصة بك عن طريق تحديد الشبكات الفرعية ضمن الإعدادات .

  2. حدد + مساعد .

  3. في شاشة اقتران الشبكة الفرعية ، حدد الشبكة الافتراضية التي تم إنشاء نظام المجموعة فيها. و الشبكة الفرعية التي استخدمتها لمجموعة HDInsight.

  4. حدد موافق.

عقدة الحافة أو حركة مرور التطبيقات المخصصة

ستسمح الخطوات المذكورة أعلاه للمجموعة بالعمل دون مشاكل. ما زلت بحاجة إلى تكوين التبعيات لاستيعاب تطبيقاتك المخصصة التي تعمل على العقد الطرفية، إن أمكن.

يجب تحديد تبعيات التطبيق وإضافتها إلى جدار حماية Azure أو جدول التوجيه.

يجب إنشاء مسارات لحركة مرور التطبيق لتجنب مشكلات التوجيه غير المتماثلة.

إذا كانت تطبيقاتك لها تبعيات أخرى، فيجب إضافتها إلى جدار حماية Azure الخاص بك. أنشئ قواعد التطبيق للسماح بحركة مرور HTTP / HTTPS وقواعد الشبكة لكل شيء آخر.

التسجيل والحجم

يمكن لجدار حماية Azure إرسال السجلات إلى عدد قليل من أنظمة التخزين المختلفة. للحصول على إرشادات حول تكوين التسجيل لجدار الحماية الخاص بك، اتبع الخطوات الواردة في البرنامج التعليمي: مراقبة سجلات ومقاييس Azure Firewall.

بمجرد الانتهاء من إعداد التسجيل، إذا كنت تستخدم Log Analytics، فيمكنك عرض نسبة استخدام الشبكة المحظورة باستعلام مثل:

AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)

يعد تكامل Azure Firewall مع سجلات Azure Monitor مفيداً عند تشغيل التطبيق لأول مرة. خاصة عندما لا تكون على دراية بجميع تبعيات التطبيق. يمكنك معرفة المزيد حول سجلات Azure Monitor من تحليل بيانات السجل في Azure Monitor

للتعرف على حدود مقياس Azure Firewall وزيادة الطلبات، راجع هذا المستند أو راجع الأسئلة الشائعة.

الوصول إلى نظام المجموعة

بعد إعداد جدار الحماية بنجاح، يمكنك استخدام نقطة النهاية الداخلية (https://CLUSTERNAME-int.azurehdinsight.net) للوصول إلى Ambari من داخل الشبكة الافتراضية.

لاستخدام نقطة النهاية العامة (https://CLUSTERNAME.azurehdinsight.net) أو نقطة نهاية ssh (CLUSTERNAME-ssh.azurehdinsight.net)، تأكد من أن لديك المسارات الصحيحة في جدول التوجيه وقواعد NSG لتجنب مشكلة التوجيه غير المتماثل الموضحة هنا . على وجه التحديد في هذه الحالة، تحتاج إلى السماح بعنوان IP للعميل في قواعد NSG الواردة وإضافته أيضاً إلى جدول التوجيه المحدد بواسطة المستخدم مع تعيين الخطوة التالية على أنها internet. إذا لم يتم إعداد التوجيه بشكل صحيح، فسترى خطأ انتهاء المهلة.

الخطوات التالية