Erstellen und Konfigurieren von Clustern mit dem Enterprise-Sicherheitspaket in Azure HDInsight

  • Artikel

Das Enterprise-Sicherheitspaket (ESP) für Azure HDInsight bietet Ihnen Zugriff auf die Active Directory-basierte Authentifizierung, Mehrbenutzerunterstützung und rollenbasierte Zugriffssteuerung für Ihre Apache Hadoop-Cluster in Azure. HDInsight-Cluster mit dem Enterprise-Sicherheitspaket ermöglichen Organisationen mit strengen unternehmensinternen Sicherheitsrichtlinien die sichere Verarbeitung vertraulicher Daten.

In diesem Leitfaden wird gezeigt, wie Sie einen Azure HDInsight-Cluster mit aktiviertem Enterprise-Sicherheitspaket erstellen. Sie erfahren außerdem, wie Sie eine Windows-IaaS-VM erstellen, für die Active Directory und Domain Name System (DNS) aktiviert sind. Dieser Leitfaden soll Sie dabei unterstützen, die erforderlichen Ressourcen zu konfigurieren und lokalen Benutzern die Anmeldung bei einem HDInsight-Cluster mit aktiviertem Enterprise-Sicherheitspaket zu ermöglichen.

Der Server, den Sie erstellen, ersetzt Ihre tatsächliche lokale Umgebung. Sie verwenden ihn für die Setup- und Konfigurationsschritte. Später wiederholen Sie die Schritte in ihrer eigenen Umgebung.

In diesem Leitfaden wird auch beschrieben, wie Sie eine Umgebung mit Hybrididentitäten mithilfe der Kennworthashsynchronisierung mit Microsoft Entra ID erstellen. Der Leitfaden dient als Ergänzung zu Verwendung des Enterprise-Sicherheitspakets in HDInsight.

Vor Verwendung dieses Prozesses in Ihrer eigenen Umgebung:

  • Richten Sie Active Directory und DNS ein.
  • Aktivieren von Microsoft Entra ID.
  • Synchronisieren lokaler Benutzerkonten mit Microsoft Entra ID.

Microsoft Entra architecture diagram.

Erstellen einer lokalen Umgebung

In diesem Abschnitt verwenden Sie eine Schnellstartvorlage für die Azure-Bereitstellung, um neue VMs zu erstellen, DNS zu konfigurieren und eine neue Active Directory-Gesamtstruktur hinzuzufügen.

  1. Wechseln Sie zur Schnellstartvorlage für die Bereitstellung, um eine Azure-VM mit einer neuen Active Directory-Gesamtstruktur zu erstellen.

  2. Wählen Sie Bereitstellung in Azure aus.

  3. Melden Sie sich bei Ihrem Azure-Abonnement an.

  4. Geben Sie auf der Seite Create an Azure VM with a new AD Forest (Azure-VM mit einer neuen AD-Gesamtstruktur erstellen) die folgenden Informationen an:

    Eigenschaft Wert
    Subscription Wählen Sie das Abonnement aus, in dem die Ressourcen bereitgestellt werden sollen.
    Resource group Klicken Sie auf Neu erstellen, und geben Sie den Namen OnPremADVRG ein.
    Position Wählen Sie einen Standort aus.
    Administratorbenutzername HDIFabrikamAdmin
    Administratorkennwort Geben Sie ein Kennwort ein.
    Domänenname HDIFabrikam.com
    DNS-Präfix hdifabrikam

    Belassen Sie die übrigen Werte in ihrer Standardeinstellung.

    Template for Create an Azure VM with a new Microsoft Entra Forest.

  5. Lesen Sie die Geschäftsbedingungen, und wählen Sie anschließend die Option Ich stimme den oben genannten Geschäftsbedingungen zu aus.

  6. Wählen Sie die Option Kaufen aus, verfolgen Sie die Bereitstellung, und warten Sie, bis sie abgeschlossen ist. Die Bereitstellung dauert bis zu 30 Minuten.

Konfigurieren von Benutzern und Gruppen für den Clusterzugriff

In diesem Abschnitt erstellen Sie die Benutzer, die nach Abschluss dieses Leitfadens Zugriff auf den HDInsight-Cluster haben.

  1. Stellen Sie mit Remotedesktop eine Verbindung mit dem Domänencontroller her.

    1. Navigieren Sie im Azure-Portal zu Ressourcengruppen>OnPremADVRG>adVM>Verbinden.
    2. Wählen Sie aus der Dropdownliste IP-Adresse die öffentliche IP-Adresse aus.
    3. Wählen Sie die Option RDP-Datei herunterladen aus, und öffnen Sie die Datei.
    4. Verwenden Sie HDIFabrikam\HDIFabrikamAdmin als Benutzername.
    5. Geben Sie das Kennwort ein, das Sie für das Administratorkonto festgelegt haben.
    6. Klicken Sie auf OK.

  2. Navigieren Sie im Dashboard Server-Manager des Domänencontrollers zu Extras>Active Directory-Benutzer und -Computer.

    On the Server Manager dashboard, open Active Directory Management.

  3. Erstellen Sie zwei neue Benutzer: HDIAdmin und HDIUser. Diese beiden Benutzer melden sich bei den HDInsight-Clustern an.

    1. Klicken Sie auf der Seite Active Directory-Benutzer und -Computer mit der rechten Maustaste auf HDIFabrikam.com, und navigieren Sie dann zu Neu>Benutzer.

      Create a new Active Directory user.

    2. Geben Sie auf der Seite Neues Objekt – Benutzer für Vorname und Nachname die Zeichenfolge HDIUser ein. Die anderen Felder werden automatisch ausgefüllt. Wählen Sie Weiteraus.

      Create the first admin user object.

    3. Geben Sie im Popupfenster ein Kennwort für das neue Konto ein. Klicken Sie auf Kennwort läuft nie ab, und wählen Sie dann bei der Popupnachricht OK aus.

    4. Wählen Sie Weiter und dann Fertig stellen aus, um das neue Konto zu erstellen.

    5. Wiederholen Sie diese Schritte zum Erstellen des Benutzers HDIAdmin.

      Create a second admin user object.

  4. Erstellen Sie eine globale Sicherheitsgruppe.

    1. Klicken Sie auf der Seite Active Directory-Benutzer und -Computer mit der rechten Maustaste auf HDIFabrikam.com, und navigieren Sie dann zu Neu>Gruppe.

    2. Geben Sie im Textfeld Gruppenname die Zeichenfolge HDIUserGroup ein.

    3. Klicken Sie auf OK.

    Create a new Active Directory group.

    Create a new object.

  5. Fügen Sie HDIUserGroup Mitglieder hinzu.

    1. Klicken Sie mit der rechten Maustaste auf HDIUser, und wählen Sie die Option Add to a group… (Einer Gruppe hinzufügen) aus.

    2. Geben Sie im Textfeld Enter the object names to select (Geben Sie die zu verwendenden Objektnamen ein) den Namen HDIUserGroup ein. Wählen Sie dann OK aus, und beim Popupelement noch mal OK.

    3. Wiederholen Sie die vorherigen Schritte für das Konto HDIAdmin.

      Add the member HDIUser to the group HDIUserGroup.

Sie haben nun Ihre Active Directory-Umgebung erstellt. Sie haben zwei Benutzer und eine Benutzergruppe hinzugefügt, die auf den HDInsight-Cluster zugreifen können.

Die Benutzer werden mit Microsoft Entra ID synchronisiert.

Erstellen eines Microsoft Entra-Verzeichnis

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Ressource erstellen aus, und geben Sie directory ein. Wählen Sie Microsoft Entra ID>Erstellen aus.

  3. Geben Sie unter Organisationsname den Name HDIFabrikam ein.

  4. Geben Sie unter Name der Anfangsdomäne den Name HDIFabrikamoutlook ein.

  5. Klicken Sie auf Erstellen.

    Create a Microsoft Entra directory.

Erstellen einer benutzerdefinierten Domäne

  1. Wählen Sie auf der neuen Seite Microsoft Entra ID unter Verwalten die Option Benutzerdefinierte Domänennamen aus.

  2. Wählen Sie + Benutzerdefinierte Domäne hinzufügen aus.

  3. Geben Sie unter Benutzerdefinierter Domänenname den Name HDIFabrikam.com ein, und wählen Sie dann Domäne hinzufügen aus.

  4. Führen Sie dann die Schritte unter Hinzufügen Ihrer DNS-Informationen in der Domänenregistrierungsstelle aus.

    Create a custom domain.

Gruppe erstellen

  1. Wählen Sie auf der neuen Seite Microsoft Entra ID unter Verwalten die Option Verwalten aus.
  2. Wählen Sie + Neue Gruppe aus.
  3. Geben Sie im Textfeld Gruppenname die Zeichenfolge AAD DC Administrators ein.
  4. Klicken Sie auf Erstellen.

Konfigurieren Ihres Microsoft Entra-Mandanten

Jetzt konfigurieren Sie Ihren Microsoft Entra-Mandanten, damit Sie Benutzer und Gruppen aus der lokalen Active Directory-Instanz mit der Cloud synchronisieren können.

Erstellen Sie einen Active Directory-Mandantenadministrator.

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Ihren Microsoft Entra-Mandanten HDIFabrikam aus.

  2. Navigieren Sie zu Verwalten>Benutzer>Neue Benutzer.

  3. Geben Sie die folgenden Details für den neuen Benutzer ein:

    Identität

    Eigenschaft BESCHREIBUNG
    Benutzername Geben Sie fabrikamazureadmin in das Textfeld ein. Wählen Sie in der Dropdownliste für Domänennamen den Eintrag hdifabrikam.com aus.
    Name Geben Sie fabrikamazureadmin ein.

    Kennwort

    1. Wählen Sie die Option Kennwort selbst erstellen aus.
    2. Geben Sie ein beliebiges sicheres Kennwort ein.

    Gruppen und Rollen

    1. Wählen Sie 0 Gruppen ausgewählt aus.

    2. Wählen Sie AAD DC Administrators (AAD-DC-Administratoren) aus, und wählen Sie dann Auswählen aus.

      The Microsoft Entra groups dialog box.

    3. Wählen Sie Benutzer aus.

    4. Wählen Sie Globaler Administrator aus, und wählen Sie dann Auswählen aus.

      The Microsoft Entra role dialog box.

  4. Klicken Sie auf Erstellen.

  5. Bitten Sie dann den neuen Benutzer, sich beim Azure-Portal anzumelden. Dort wird er dazu aufgefordert, sein Kennwort zu ändern. Sie müssen dies tun, bevor Sie Microsoft Entra Connect konfigurieren.

Synchronisieren lokaler Benutzer mit Microsoft Entra ID

Konfigurieren von Microsoft Entra Connect

  1. Laden Sie im Domänencontroller den Dienst Microsoft Entra Connect herunter.

  2. Öffnen Sie die ausführbare Datei, die Sie heruntergeladen haben, und akzeptieren Sie die Lizenzbedingungen. Wählen Sie Weiter.

  3. Wählen Sie die Option Express-Einstellungen verwenden aus.

  4. Geben Sie auf der Seite Herstellen einer Verbindung mit Microsoft Entra ID den Benutzernamen und das Kennwort für den globalen Administrator für Microsoft Entra ID ein. Verwenden Sie den Benutzernamen fabrikamazureadmin@hdifabrikam.com, den Sie beim Konfigurieren Ihres Active Directory-Mandanten erstellt haben. Wählen Sie Weiteraus.

    Connect to Microsoft Entra ID.

  5. Geben Sie auf der Seite Mit Active Directory Domain Services verbinden den Benutzernamen und das Kennwort für ein Unternehmensadministratorkonto ein. Verwenden Sie den Benutzernamen HDIFabrikam\HDIFabrikamAdmin und das zugehörige Kennwort, die Sie zuvor erstellt haben. Wählen Sie Weiteraus.

    Connect to A D D S page.

  6. Wählen Sie auf der Seite Microsoft Entra-Anmeldungskonfiguration die Option Weiter aus.

    Microsoft Entra sign-in configuration page.

  7. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Installieren aus.

    Ready to configure page.

  8. Wählen Sie auf der Seite Konfiguration abgeschlossen die Option Beenden. Configuration complete page.

  9. Vergewissern Sie sich nach Abschluss der Synchronisierung, dass die im IaaS-Verzeichnis erstellten Benutzer mit Microsoft Entra ID synchronisiert wurden.

    1. Melden Sie sich beim Azure-Portal an.
    2. Wählen Sie Microsoft Entra ID>HDIFabrikam>Benutzer aus.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die Sie zum Konfigurieren von Microsoft Entra Domain Services verwenden können. Weitere Informationen finden Sie unter Erstellen, Auflisten, Löschen oder Zuweisen einer Rolle zu einer benutzerseitig zugewiesenen verwalteten Identität über das Azure-Portal.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Ressource erstellen aus, und geben Sie managed identity ein. Wählen Sie Benutzerseitig zugewiesene verwaltete Identität>Erstellen aus.
  3. Geben Sie für Ressourcenname die Zeichenfolge HDIFabrikamManagedIdentity ein.
  4. Wählen Sie Ihr Abonnement aus.
  5. Wählen Sie unter Ressourcengruppe die Option Neu erstellen aus, und geben Sie HDIFabrikam-CentralUS ein.
  6. Wählen Sie unter Standort die Option USA, Mitte aus.
  7. Klicken Sie auf Erstellen.

Create a new user-assigned managed identity.

Microsoft Entra Domain Services aktivieren

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra Domain Services zu aktivieren. Weitere Informationen finden Sie unter Aktivieren von Microsoft Entra Domain Services mithilfe des Azure-Portals.

  1. Erstellen eines virtuellen Netzwerks für das Hosten von Microsoft Entra Domain Services. Führen Sie den folgenden PowerShell-Code aus.

    # Sign in to your Azure subscription
$sub = Get-AzSubscription -ErrorAction SilentlyContinue
if(-not($sub))
{
    Connect-AzAccount
}

# If you have multiple subscriptions, set the one to use
# Select-AzSubscription -SubscriptionId "<SUBSCRIPTIONID>"

$virtualNetwork = New-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS' -Location 'Central US' -Name 'HDIFabrikam-AADDSVNET' -AddressPrefix 10.1.0.0/16
$subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name 'AADDS-subnet' -AddressPrefix 10.1.0.0/24 -VirtualNetwork $virtualNetwork
$virtualNetwork | Set-AzVirtualNetwork

  2. Melden Sie sich beim Azure-Portal an.

  3. Wählen Sie Ressource erstellen aus, geben Sie Domain services ein, und wählen Sie Microsoft Entra Domain Services>Erstellen aus.

  4. Gehen Sie auf der Seite Grundlagen wie folgt vor:

    1. Wählen Sie unter Verzeichnisname das erstellte Microsoft Entra-Verzeichnis aus: HDIFabrikam.

    2. Geben Sie unter DNS-Domänenname den Namen HDIFabrikam.com ein.

    3. Wählen Sie Ihr Abonnement aus.

    4. Geben Sie die Ressourcengruppe HDIFabrikam-CentralUS an. Wählen Sie USA, Mitte als Standort aus.

      Microsoft Entra Domain Services basic details.

  5. Wählen Sie auf der Seite Netzwerk das Netzwerk (HDIFabrikam-VNET) und das Subnetz (AADDS-subnet) aus, die Sie mit dem PowerShell-Skript erstellt haben. Oder wählen Sie Neu erstellen aus, um jetzt ein virtuelles Netzwerk zu erstellen.

    Create virtual network step.

  6. Auf der Seite Administratorgruppe sollte eine Benachrichtigung angezeigt werden, dass bereits eine Gruppe mit dem Namen AAD DC-Administratoren zur Verwaltung dieser Gruppe erstellt wurde. Sie können die Mitgliedschaft dieser Gruppe ändern, was in diesem Fall aber nicht nötig ist. Klicken Sie auf OK.

    View the Microsoft Entra administrator group.

  7. Aktivieren Sie auf der Seite Synchronisierung die vollständige Synchronisierung, indem Sie Alle>OK auswählen.

    Enable Microsoft Entra Domain Services synchronization.

  8. Überprüfen Sie auf der Seite Zusammenfassung die Details für Microsoft Entra Domain Services, und wählen Sie OK aus.

    Enable Microsoft Entra Domain Services.

Nachdem Sie Microsoft Entra Domain Services aktiviert haben, wird ein lokaler DNS-Server auf den Microsoft Entra-VMs ausgeführt.

Konfigurieren Ihres virtuellen Microsoft Entra Domain Services-Netzwerks

In den folgenden Schritten konfigurieren Sie Ihr virtuelles Microsoft Entra Domain Services-Netzwerk (HDIFabrikam-AADDSVNET) zur Verwendung Ihrer benutzerdefinierten DNS-Server.

  1. Suchen Sie nach den IP-Adressen Ihrer benutzerdefinierten DNS-Server.

    1. Wählen Sie HDIFabrikam.com Microsoft Entra Domain Services-Ressource aus.
    2. Wählen Sie unter Verwalten die Option Eigenschaften aus.
    3. Sie finden die IP-Adressen unter IP-Adresse im virtuellen Netzwerk.

    Locate custom DNS IP addresses for Microsoft Entra Domain Services.

  2. Konfigurieren Sie HDIFabrikam-AADDSVNET für die Verwendung der benutzerdefinierten IP-Adressen 10.0.0.4 und 10.0.0.5.

    1. Wählen Sie unter Einstellungen die Option DNS-Server aus.
    2. Wählen Sie Benutzerdefiniert aus.
    3. Geben Sie im Textfeld die erste IP-Adresse ein (10.0.0.4).
    4. Wählen Sie Speichern aus.
    5. Wiederholen Sie die Schritte, um die andere IP-Adresse (10.0.0.5) hinzuzufügen.

In unserem Szenario haben wir Microsoft Entra Domain Services für die Verwendung von IP-Adressen 10.0.0.4 und 10.0.0.5 konfiguriert, wobei die gleiche IP-Adresse im virtuellen Netzwerk der Microsoft Entra Domain Services festgelegt wird:

The custom DNS servers page.

Sichern des LDAP-Datenverkehrs

Das Lightweight Directory Access Protocol (LDAP) wird zum Lesen und Schreiben in Microsoft Entra ID verwendet. Sie können die Vertraulichkeit und Sicherheit von LDAP-Datenverkehr mithilfe der Secure Sockets Layer (SSL)- oder Transport Layer Security (TLS)-Technologie gewährleisten. Sie können LDAP über SSL (Secure LDAP, LDAPS) aktivieren, indem Sie ein korrekt formatiertes Zertifikat installieren.

Weitere Informationen zu LDAP finden Sie unter Konfigurieren Sie LDAP für eine von Microsoft Entra Domain Services verwaltete Domäne.

In diesem Abschnitt erstellen Sie ein selbstsigniertes Zertifikat, laden das Zertifikat herunter und konfigurieren LDAPS für die verwaltete Microsoft Entra Domain Services-Domäne HDIFabrikam.

Mit dem folgenden Skript wird ein Zertifikat für HDIFabrikam erstellt. Das Zertifikat wird unter dem Pfad LocalMachine gespeichert.

$lifetime = Get-Date
New-SelfSignedCertificate -Subject hdifabrikam.com `
-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.hdifabrikam.com, hdifabrikam.com

Hinweis

Zum Erstellen der TLS/SSL-Zertifikatanforderung kann ein Hilfsprogramm oder eine Anwendung verwendet werden, von dem bzw. der eine gültige Public Key Cryptography Standards (PKCS) #10-Anforderung erstellt wird.

Überprüfen Sie, ob das Zertifikat im persönlichen Speicher auf dem Computer installiert wurde:

  1. Starten Sie die Microsoft Management Console (MMC).

  2. Fügen Sie das Snap-In Zertifikate hinzu, mit dem Zertifikate auf dem lokalen Computer verwaltet werden.

  3. Erweitern Sie Zertifikate (lokaler Computer)>Persönlich>Zertifikate. Der persönliche Speicher sollte ein neues Zertifikat enthalten. Dieses Zertifikat ist auf den vollständig qualifizierten Hostnamen ausgestellt.

    Verify local certificate creation.

  4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf das erstellte Zertifikat. Zeigen Sie auf Alle Aufgaben, und wählen Sie dann Exportieren aus.

  5. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus. Der Computer, auf den der Schlüssel importiert wird, benötigt den privaten Schlüssel, um die verschlüsselten Nachrichten zu lesen.

    The Export Private Key page of the Certificate Export Wizard.

  6. Übernehmen Sie auf der Seite Format der zu exportierenden Datei die Standardwerte, und wählen Sie dann Weiter aus.

  7. Geben Sie auf der Seite Kennwort ein Kennwort für den privaten Schlüssel ein. Wählen Sie als Verschlüsselung den Typ TripleDES-SHA1 aus. Wählen Sie Weiteraus.

  8. Geben Sie auf der Seite Exportdatei den Pfad und Namen der exportierten Zertifikatdatei ein, und wählen Sie dann Weiter aus. Der Dateiname muss die Erweiterung „.pfx“ aufweisen. Die Datei wird im Azure-Portal konfiguriert, um eine sichere Verbindung herzustellen.

  9. Aktivieren einer verwalteten Microsoft Entra Domain Services-Domäne.

    1. Wählen Sie im Azure-Portal die Domäne HDIFabrikam.com aus.
    2. Wählen Sie unter Verwalten die Option Secure LDAP aus.
    3. Wählen Sie auf der Seite Secure LDAP unter Secure LDAP die Einstellung Aktivieren aus.
    4. Suchen Sie nach der PFX-Zertifikatsdatei, die Sie auf Ihren Computer exportiert haben.
    5. Geben Sie das Kennwort für das Zertifikat ein.

    Enable secure LDAP.

  10. Nachdem Sie LDAPS aktiviert haben, aktivieren Sie Port 636, um die Erreichbarkeit sicherzustellen.

    1. Wählen Sie in der Ressourcengruppe HDIFabrikam-CentralUS die Netzwerksicherheitsgruppe AADDS-HDIFabrikam.com-NSG aus.

    2. Wählen Sie unter Einstellungen die Optionen Eingangssicherheitsregeln>Hinzufügen aus.

    3. Geben Sie auf der Seite Eingangssicherheitsregel hinzufügen die folgenden Eigenschaften ein, und wählen Sie Hinzufügen aus:

      Eigenschaft Value
      Quelle Beliebig
      Quellportbereiche *
      Destination Any
      Destination port range 636
      Protocol Any
      Aktion Allow
      Priorität <Gewünschte Zahl>
      Name Port_LDAP_636

      The Add inbound security rule dialog box.

HDIFabrikamManagedIdentity ist die benutzerseitig zugewiesene verwaltete Identität. Für die verwaltete Identität ist die Rolle „HDInsight-Domänendienste: Mitwirkender“ aktiviert, sodass damit Domänendienstvorgänge gelesen, erstellt, geändert und gelöscht werden können.

Create a user-assigned managed identity.

Erstellen eines HDInsight-Clusters mit aktiviertem Enterprise-Sicherheitspaket

Für diesen Schritt müssen vorab die folgenden Aufgaben ausgeführt werden:

  1. Erstellen Sie die neue Ressourcengruppe HDIFabrikam-WestUS am Standort USA, Westen.

  2. Erstellen Sie ein virtuelles Netzwerk, das den HDInsight-Cluster mit dem aktivierten Enterprise-Sicherheitspaket hostet.

    $virtualNetwork = New-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS' -Location 'West US' -Name 'HDIFabrikam-HDIVNet' -AddressPrefix 10.1.0.0/16
$subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name 'SparkSubnet' -AddressPrefix 10.1.0.0/24 -VirtualNetwork $virtualNetwork
$virtualNetwork | Set-AzVirtualNetwork

  3. Erstellen Sie eine Peerbeziehung zwischen dem virtuellen Netzwerk, das Microsoft Entra Domain Services hostet (HDIFabrikam-AADDSVNET), und dem virtuellen Netzwerk, das den HDInsight-Cluster mit dem aktivierten Enterprise-Sicherheitspaket hostet (HDIFabrikam-HDIVNet). Führen Sie mit dem folgenden PowerShell-Code das Peering dieser beiden virtuellen Netzwerke durch.

    Add-AzVirtualNetworkPeering -Name 'HDIVNet-AADDSVNet' -RemoteVirtualNetworkId (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS').Id -VirtualNetwork (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS')

Add-AzVirtualNetworkPeering -Name 'AADDSVNet-HDIVNet' -RemoteVirtualNetworkId (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS').Id -VirtualNetwork (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS')

  4. Erstellen Sie ein neues Azure Data Lake Storage Gen2-Konto namens Hdigen2store. Konfigurieren Sie das Konto mit der benutzerseitig verwalteten Identität HDIFabrikamManagedIdentity. Weitere Informationen finden Sie unter Verwenden von Azure Data Lake Storage Gen2 mit Azure HDInsight-Clustern.

  5. Richten Sie im virtuellen Netzwerk HDIFabrikam-AADDSVNET ein benutzerdefiniertes DNS ein.

    1. Navigieren Sie im Azure-Portal zu >Ressourcengruppen>OnPremADVRG>HDIFabrikam-AADDSVNET>DNS-Server.

    2. Wählen Sie Benutzerdefiniert aus, und geben Sie 10.0.0.4 und 10.0.0.5 ein.

    3. Wählen Sie Speichern aus.

      Save custom DNS settings for a virtual network.

  6. Erstellen Sie einen neuen HDInsight Spark-Cluster mit aktiviertem Enterprise-Sicherheitspaket.

    1. Wählen Sie Benutzerdefiniert (Größe, Einstellungen, Apps) aus.

    2. Geben Sie Details für Grundlagen (Abschnitt 1) ein. Der Clustertyp muss Spark 2.3 (HDI 3.6) lauten. Die Ressourcengruppe muss HDIFabrikam-CentralUS lauten.

    3. Geben Sie für Sicherheit + Netzwerkbetrieb (Abschnitt 2) folgende Details ein:

      • Wählen Sie unter Enterprise-Sicherheitspaket die Einstellung Aktiviert aus.

      • Wählen Sie Clusteradministratorbenutzer und das Konto HDIAdmin aus, das Sie als lokalen Administratorbenutzer erstellt haben. Klicken Sie auf Auswählen.

      • Wählen Sie Clusterzugriffsgruppe>HDIUserGroup aus. Jeder Benutzer, den Sie dieser Gruppe später hinzufügen, kann auf HDInsight-Cluster zugreifen.

        Select the cluster access group HDIUserGroup.

    4. Führen Sie die weiteren Schritte der Clusterkonfiguration aus, und überprüfen Sie die Details in der Clusterübersicht. Klicken Sie auf Erstellen.

  7. Melden Sie sich bei der Ambari-Benutzeroberfläche für den neu erstellten Cluster unter https://CLUSTERNAME.azurehdinsight.net an. Verwenden Sie Ihren Administratorbenutzernamen hdiadmin@hdifabrikam.com und das zugehörige Kennwort.

    The Apache Ambari UI sign-in window.

  8. Wählen Sie im Cluster-Dashboard Roles (Rollen) aus.

  9. Geben Sie auf der Seite Roles (Rollen) unter Assign roles to these (Rollen zuweisen zu) neben der Rolle Cluster Administrator (Clusteradministrator) die Gruppe hdiusergroup ein.

    Assign the cluster admin role to hdiusergroup.

  10. Öffnen Sie den Secure Shell (SSH)-Client, und melden Sie sich beim Cluster an. Verwenden Sie den hdiuser, den Sie in der lokalen Active Directory-Instanz erstellt haben.

    Sign in to the cluster by using the SSH client.

Wenn Sie sich mit diesem Konto anmelden können, ist der Cluster mit dem Enterprise-Sicherheitspaket ordnungsgemäß für die Synchronisierung mit Ihrer lokalen Active Directory-Instanz konfiguriert.

Nächste Schritte

Lesen Sie Einführung in die Apache Hadoop-Sicherheit mit dem Enterprise-Sicherheitspaket.