Share via

Tworzenie i konfigurowanie klastrów pakietu Enterprise Security w usłudze Azure HDInsight

  • Artykuł

Pakiet Enterprise Security Package (ESP) dla usługi Azure HDInsight zapewnia dostęp do uwierzytelniania opartego na usłudze Active Directory, obsługi wielu użytkowników i kontroli dostępu opartej na rolach dla klastrów Apache Hadoop na platformie Azure. Klastry USŁUGI HDInsight ESP umożliwiają organizacjom, które są zgodne z rygorystycznymi zasadami zabezpieczeń firmy w celu bezpiecznego przetwarzania poufnych danych.

W tym przewodniku pokazano, jak utworzyć klaster usługi Azure HDInsight z obsługą esp. Pokazano również, jak utworzyć maszynę wirtualną IaaS z systemem Windows, na której włączono usługę Active Directory i system nazw domen (DNS). Skorzystaj z tego przewodnika, aby skonfigurować niezbędne zasoby, aby umożliwić użytkownikom lokalnym logowanie się do klastra usługi HDInsight z obsługą esp.

Utworzony serwer będzie działać jako zamiennik rzeczywistego środowiska lokalnego. Użyjesz go do kroków konfiguracji i konfiguracji. Później powtórzysz kroki we własnym środowisku.

Ten przewodnik pomoże również utworzyć środowisko tożsamości hybrydowej przy użyciu synchronizacji skrótów haseł z identyfikatorem Entra firmy Microsoft. W przewodniku dopełnia się temat Use ESP in HDInsight (Korzystanie z usługi ESP w usłudze HDInsight).

Przed rozpoczęciem korzystania z tego procesu we własnym środowisku:

  • Konfigurowanie usług Active Directory i DNS.
  • Włącz identyfikator entra firmy Microsoft.
  • Zsynchronizuj lokalne konta użytkowników z identyfikatorem Entra firmy Microsoft.

Microsoft Entra architecture diagram.

Tworzenie środowiska lokalnego

W tej sekcji użyjesz szablonu wdrażania szybkiego startu platformy Azure, aby utworzyć nowe maszyny wirtualne, skonfigurować usługę DNS i dodać nowy las usługi Active Directory.

  1. Przejdź do szablonu wdrażania szybkiego startu, aby utworzyć maszynę wirtualną platformy Azure z nowym lasem usługi Active Directory.

  2. Wybierz pozycję Wdróż na platformie Azure.

  3. Zaloguj się do subskrypcji platformy Azure.

  4. Na stronie Tworzenie maszyny wirtualnej platformy Azure z nowym lasem usługi AD podaj następujące informacje:

    Właściwości Wartość
    Subskrypcja Wybierz subskrypcję, w której chcesz wdrożyć zasoby.
    Grupa zasobów Wybierz pozycję Utwórz nową, a następnie wprowadź nazwę OnPremADVRG
    Lokalizacja Wybierz lokalizację.
    Nazwa użytkownika administratora HDIFabrikamAdmin
    Hasło administratora Wprowadź hasło.
    Nazwa domeny HDIFabrikam.com
    Prefiks DNS hdifabrikam

    Pozostaw pozostałe wartości domyślne.

    Template for Create an Azure VM with a new Microsoft Entra Forest.

  5. Przejrzyj warunki i postanowienia, a następnie wybierz pozycję Zgadzam się na powyższe warunki i postanowienia.

  6. Wybierz pozycję Kup i monitoruj wdrożenie i poczekaj na jego zakończenie. Ukończenie wdrożenia trwa około 30 minut.

Konfigurowanie użytkowników i grup na potrzeby dostępu do klastra

W tej sekcji utworzysz użytkowników, którzy będą mieli dostęp do klastra usługi HDInsight na końcu tego przewodnika.

  1. Połączenie do kontrolera domeny przy użyciu pulpitu zdalnego.

    1. W witrynie Azure Portal przejdź do pozycji Grupy>zasobów OnPremADVRG>adVM> Połączenie.
    2. Z listy rozwijanej Adres IP wybierz publiczny adres IP.
    3. Wybierz pozycję Pobierz plik RDP, a następnie otwórz plik.
    4. Użyj HDIFabrikam\HDIFabrikamAdmin jako nazwy użytkownika.
    5. Wprowadź hasło wybrane dla konta administratora.
    6. Wybierz przycisk OK.

  2. Na pulpicie nawigacyjnym Menedżer serwera kontrolera domeny przejdź do pozycji Narzędzia> Użytkownicy i komputery usługi Active Directory.

    On the Server Manager dashboard, open Active Directory Management.

  3. Utwórz dwóch nowych użytkowników: HDI Administracja i HDIUser. Ci dwaj użytkownicy będą logować się do klastrów usługi HDInsight.

    1. Na stronie Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy pozycję HDIFabrikam.com, a następnie przejdź do pozycji Nowy>użytkownik.

      Create a new Active Directory user.

    2. Na stronie Nowy obiekt — użytkownik wprowadź w HDIUser polu Imię i Nazwa logowania użytkownika. Pozostałe pola zostaną automatycznie wypełniane. Następnie kliknij przycisk Dalej.

      Create the first admin user object.

    3. W wyświetlonym oknie podręcznym wprowadź hasło dla nowego konta. Wybierz pozycję Hasło nigdy nie wygasa, a następnie kliknij przycisk OK w wyskakującym komunikacie.

    4. Wybierz pozycję Dalej, a następnie pozycję Zakończ , aby utworzyć nowe konto.

    5. Powtórz powyższe kroki, aby utworzyć użytkownika HDIAdmin.

      Create a second admin user object.

  4. Utwórz globalną grupę zabezpieczeń.

    1. W Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy pozycję HDIFabrikam.com, a następnie przejdź do pozycji Nowa>grupa.

    2. Wprowadź HDIUserGroup w polu tekstowym Nazwa grupy .

    3. Wybierz przycisk OK.

    Create a new Active Directory group.

    Create a new object.

  5. Dodaj członków do grupy HDIUserGroup.

    1. Kliknij prawym przyciskiem myszy pozycję HDIUser i wybierz polecenie Dodaj do grupy....

    2. W polu tekstowym Wprowadź nazwy obiektów do zaznacznia wprowadź .HDIUserGroup Następnie wybierz przycisk OK, a następnie ponownie kliknij przycisk OK w wyskakującym okienku.

    3. Powtórz poprzednie kroki dla konta usługi HDI Administracja.

      Add the member HDIUser to the group HDIUserGroup.

Środowisko usługi Active Directory zostało utworzone. Dodano dwóch użytkowników i grupę użytkowników, którzy mogą uzyskiwać dostęp do klastra usługi HDInsight.

Użytkownicy zostaną zsynchronizowani z identyfikatorem Entra firmy Microsoft.

Tworzenie katalogu Microsoft Entra

  1. Zaloguj się w witrynie Azure Portal.

  2. Wybierz pozycję Utwórz zasób i wpisz directory. Wybierz pozycję Microsoft Entra ID Create (Utwórz identyfikator>entra firmy Microsoft).

  3. W obszarze Nazwa organizacji wprowadź .HDIFabrikam

  4. W obszarze Początkowa nazwa domeny wprowadź .HDIFabrikamoutlook

  5. Wybierz pozycję Utwórz.

    Create a Microsoft Entra directory.

Tworzenie domeny niestandardowej

  1. Z nowego identyfikatora entra firmy Microsoft w obszarze Zarządzanie wybierz pozycję Niestandardowe nazwy domen.

  2. Wybierz pozycję + Dodaj domenę niestandardową.

  3. W obszarze Nazwa domeny niestandardowej wprowadź ciąg HDIFabrikam.com, a następnie wybierz pozycję Dodaj domenę.

  4. Następnie ukończ dodawanie informacji DNS do rejestratora domen.

    Create a custom domain.

Tworzenie grupy

  1. Z nowego identyfikatora entra firmy Microsoft w obszarze Zarządzanie wybierz pozycję Grupy.
  2. Wybierz pozycję + Nowa grupa.
  3. W polu tekstowym nazwa grupy wprowadź .AAD DC Administrators
  4. Wybierz pozycję Utwórz.

Konfigurowanie dzierżawy usługi Microsoft Entra

Teraz skonfigurujesz dzierżawę firmy Microsoft Entra, aby umożliwić synchronizowanie użytkowników i grup z wystąpienia lokalna usługa Active Directory do chmury.

Utwórz administratora dzierżawy usługi Active Directory.

  1. Zaloguj się do witryny Azure Portal i wybierz dzierżawę firmy Microsoft Entra, HDIFabrikam.

  2. Przejdź do obszaru Zarządzanie użytkownikami>>Nowy użytkownik.

  3. Wprowadź następujące szczegóły dla nowego użytkownika:

    Tożsamość

    Właściwości opis
    User name Wprowadź fabrikamazureadmin w polu tekstowym. Z listy rozwijanej nazwa domeny wybierz pozycję hdifabrikam.com
    Nazwisko Wprowadź fabrikamazureadmin.

    Hasło

    1. Wybierz pozycję Pozwól mi utworzyć hasło.
    2. Wprowadź wybrane bezpieczne hasło.

    Grupy i role

    1. Wybierz 0 wybranych grup.

    2. Wybierz pozycję AAD DC Administracja istratory, a następnie wybierz pozycję.

      The Microsoft Entra groups dialog box.

    3. Wybierz pozycję User.

    4. Wybierz pozycję Administrator globalny, a następnie Wybierz.

      The Microsoft Entra role dialog box.

  4. Wybierz pozycję Utwórz.

  5. Następnie nowy użytkownik zaloguj się do witryny Azure Portal, w której zostanie wyświetlony monit o zmianę hasła. Należy to zrobić przed skonfigurowaniem Połączenie firmy Microsoft.

Synchronizowanie użytkowników lokalnych z identyfikatorem Entra firmy Microsoft

Konfigurowanie usługi Microsoft Entra Połączenie

  1. Na kontrolerze domeny pobierz Połączenie firmy Microsoft.

  2. Otwórz pobrany plik wykonywalny i zaakceptuj postanowienia licencyjne. Wybierz Kontynuuj.

  3. Wybierz pozycję Użyj ustawień ekspresowych.

  4. Na stronie Połączenie do identyfikatora entra firmy Microsoft wprowadź nazwę użytkownika i hasło administratora globalnego identyfikatora entra firmy Microsoft. Użyj nazwy użytkownika fabrikamazureadmin@hdifabrikam.com utworzonej podczas konfigurowania dzierżawy usługi Active Directory. Następnie kliknij przycisk Dalej.

    Connect to Microsoft Entra ID.

  5. Na stronie Połączenie do usługi domena usługi Active Directory wprowadź nazwę użytkownika i hasło dla konta administratora przedsiębiorstwa. Użyj nazwy użytkownika HDIFabrikam\HDIFabrikamAdmin i utworzonego wcześniej hasła. Następnie kliknij przycisk Dalej.

    Connect to A D D S page.

  6. Na stronie konfiguracja logowania firmy Microsoft wybierz pozycję Dalej.

    Microsoft Entra sign-in configuration page.

  7. Na stronie Gotowe do skonfigurowania wybierz pozycję Zainstaluj.

    Ready to configure page.

  8. Na stronie Konfiguracja ukończona wybierz pozycję Zakończ. Configuration complete page.

  9. Po zakończeniu synchronizacji upewnij się, że użytkownicy utworzoni w katalogu IaaS są synchronizowani z identyfikatorem Entra firmy Microsoft.

    1. Zaloguj się w witrynie Azure Portal.
    2. Wybierz pozycję Microsoft Entra ID>HDIFabrikam Users (Użytkownicy usługi HDIFabrikam>firmy Microsoft).

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Utwórz tożsamość zarządzaną przypisaną przez użytkownika, której można użyć do skonfigurowania usług Microsoft Entra Domain Services. Aby uzyskać więcej informacji, zobacz Tworzenie, wyświetlanie listy, usuwanie lub przypisywanie roli do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu witryny Azure Portal.

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pozycję Utwórz zasób i wpisz managed identity. Wybierz pozycję Tożsamość zarządzana>przypisana przez użytkownika Utwórz.
  3. W polu Nazwa zasobu wprowadź wartość HDIFabrikamManagedIdentity.
  4. Wybierz subskrypcję.
  5. W obszarze Grupa zasobów wybierz pozycję Utwórz nową i wprowadź .HDIFabrikam-CentralUS
  6. W obszarze Lokalizacja wybierz pozycję Środkowe stany USA.
  7. Wybierz pozycję Utwórz.

Create a new user-assigned managed identity.

Włącz usługi Microsoft Entra Domain Services.

Wykonaj następujące kroki, aby włączyć usługi Microsoft Entra Domain Services. Aby uzyskać więcej informacji, zobacz Włączanie usług Microsoft Entra Domain Services przy użyciu witryny Azure Portal.

  1. Utwórz sieć wirtualną do hostowania usług Microsoft Entra Domain Services. Uruchom następujący kod programu PowerShell.

    # Sign in to your Azure subscription
$sub = Get-AzSubscription -ErrorAction SilentlyContinue
if(-not($sub))
{
    Connect-AzAccount
}

# If you have multiple subscriptions, set the one to use
# Select-AzSubscription -SubscriptionId "<SUBSCRIPTIONID>"

$virtualNetwork = New-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS' -Location 'Central US' -Name 'HDIFabrikam-AADDSVNET' -AddressPrefix 10.1.0.0/16
$subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name 'AADDS-subnet' -AddressPrefix 10.1.0.0/24 -VirtualNetwork $virtualNetwork
$virtualNetwork | Set-AzVirtualNetwork

  2. Zaloguj się w witrynie Azure Portal.

  3. Wybierz pozycję Utwórz zasób, wprowadź ciąg Domain services, a następnie wybierz pozycję Microsoft Entra Domain Services>Utwórz.

  4. Na stronie Podstawy:

    1. W obszarze Nazwa katalogu wybierz utworzony katalog Microsoft Entra: HDIFabrikam.

    2. W polu Nazwa domeny DNS wprowadź HDIFabrikam.com.

    3. Wybierz subskrypcję.

    4. Określ grupę zasobów HDIFabrikam-CentralUS. W polu Lokalizacja wybierz pozycję Środkowe stany USA.

      Microsoft Entra Domain Services basic details.

  5. Na stronie Sieć wybierz sieć (HDIFabrikam-VNET) i podsieć (AADDS-subnet), która została utworzona przy użyciu skryptu programu PowerShell. Możesz też wybrać pozycję Utwórz nową , aby utworzyć teraz sieć wirtualną.

    Create virtual network step.

  6. Na stronie grupy Administracja istrator powinien zostać wyświetlone powiadomienie, że grupa o nazwie AAD DC Administracja istrators została już utworzona w celu administrowania tą grupą. Możesz zmodyfikować członkostwo tej grupy, jeśli chcesz, ale w tym przypadku nie musisz jej zmieniać. Wybierz przycisk OK.

    View the Microsoft Entra administrator group.

  7. Na stronie Synchronizacja włącz pełną synchronizację, wybierając pozycję Wszystkie>OK.

    Enable Microsoft Entra Domain Services synchronization.

  8. Na stronie Podsumowanie sprawdź szczegóły usług Microsoft Entra Domain Services i wybierz przycisk OK.

    Enable Microsoft Entra Domain Services.

Po włączeniu usług Microsoft Entra Domain Services lokalny serwer DNS działa na maszynach wirtualnych firmy Microsoft Entra.

Konfigurowanie sieci wirtualnej usług Microsoft Entra Domain Services

Wykonaj poniższe kroki, aby skonfigurować sieć wirtualną usług Microsoft Entra Domain Services (HDIFabrikam-AADDSVNET) do używania niestandardowych serwerów DNS.

  1. Znajdź adresy IP niestandardowych serwerów DNS.

    1. HDIFabrikam.com Wybierz zasób Microsoft Entra Domain Services.
    2. W obszarze Zarządzanie wybierz pozycję Właściwości.
    3. Znajdź adresy IP w obszarze Adres IP w sieci wirtualnej.

    Locate custom DNS IP addresses for Microsoft Entra Domain Services.

  2. Skonfiguruj sieć HDIFabrikam-AADDSVNET do używania niestandardowych adresów IP 10.0.0.4 i 10.0.0.5.

    1. W obszarze Ustawienia wybierz pozycję Serwery DNS.
    2. Wybierz Niestandardowy.
    3. W polu tekstowym wprowadź pierwszy adres IP (10.0.0.4).
    4. Wybierz pozycję Zapisz.
    5. Powtórz kroki, aby dodać inny adres IP (10.0.0.5).

W naszym scenariuszu skonfigurowaliśmy usługi Microsoft Entra Domain Services do używania adresów IP 10.0.0.4 i 10.0.0.5, ustawiając ten sam adres IP w sieci wirtualnej usług Microsoft Entra Domain Services:

The custom DNS servers page.

Zabezpieczanie ruchu LDAP

Protokół LDAP (Lightweight Directory Access Protocol) służy do odczytu i zapisu do identyfikatora Entra firmy Microsoft. Ruch LDAP może być poufny i bezpieczny przy użyciu technologii Secure Sockets Layer (SSL) lub Transport Layer Security (TLS). Protokół LDAP za pośrednictwem protokołu SSL (LDAPS) można włączyć, instalując prawidłowo sformatowany certyfikat.

Aby uzyskać więcej informacji na temat protokołu Secure LDAP, zobacz Konfigurowanie protokołu LDAPS dla domeny zarządzanej usług Microsoft Entra Domain Services.

W tej sekcji utworzysz certyfikat z podpisem własnym, pobierzesz certyfikat i skonfigurujesz protokół LDAPS dla domeny zarządzanej usług HDIFabrikam Microsoft Entra Domain Services.

Poniższy skrypt tworzy certyfikat dla usługi HDIFabrikam. Certyfikat jest zapisywany w ścieżce LocalMachine .

$lifetime = Get-Date
New-SelfSignedCertificate -Subject hdifabrikam.com `
-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.hdifabrikam.com, hdifabrikam.com

Uwaga

Każde narzędzie lub aplikacja tworząca prawidłowe żądanie certyfikatu TLS/SSL (Public Key Cryptography Standards) (PKCS) #10 może służyć do utworzenia żądania certyfikatu TLS/SSL.

Sprawdź, czy certyfikat jest zainstalowany w magazynie osobistym komputera:

  1. Uruchom program Microsoft Management Console (MMC).

  2. Dodaj przystawkę Certyfikaty , która zarządza certyfikatami na komputerze lokalnym.

  3. Rozwiń węzeł Certyfikaty (komputer lokalny)>Certyfikaty osobiste.> Nowy certyfikat powinien istnieć w magazynie osobistym . Ten certyfikat jest wystawiony dla w pełni kwalifikowanej nazwy hosta.

    Verify local certificate creation.

  4. W okienku po prawej stronie kliknij prawym przyciskiem myszy utworzony certyfikat. Wskaż pozycję Wszystkie zadania, a następnie wybierz pozycję Eksportuj.

  5. Na stronie Eksportuj klucz prywatny wybierz pozycję Tak, wyeksportuj klucz prywatny. Komputer, na którym zostanie zaimportowany klucz, wymaga klucza prywatnego do odczytania zaszyfrowanych komunikatów.

    The Export Private Key page of the Certificate Export Wizard.

  6. Na stronie Format pliku eksportu pozostaw ustawienia domyślne, a następnie wybierz przycisk Dalej.

  7. Na stronie Hasło wpisz hasło dla klucza prywatnego. W obszarze Szyfrowanie wybierz pozycję TripleDES-SHA1. Następnie kliknij przycisk Dalej.

  8. Na stronie Plik do eksportu wpisz ścieżkę i nazwę wyeksportowanego pliku certyfikatu, a następnie wybierz przycisk Dalej. Nazwa pliku musi mieć rozszerzenie pfx. Ten plik jest skonfigurowany w witrynie Azure Portal w celu nawiązania bezpiecznego połączenia.

  9. Włącz protokół LDAPS dla domeny zarządzanej usług Microsoft Entra Domain Services.

    1. W witrynie Azure Portal wybierz domenę HDIFabrikam.com.
    2. W obszarze Zarządzanie wybierz pozycję Secure LDAP.
    3. Na stronie Secure LDAP w obszarze Secure LDAP wybierz pozycję Włącz.
    4. Wyszukaj plik certyfikatu pfx wyeksportowany na komputerze.
    5. Wprowadź hasło certyfikatu.

    Enable secure LDAP.

  10. Po włączeniu protokołu LDAPS upewnij się, że jest dostępny, włączając port 636.

    1. W grupie zasobów HDIFabrikam-CentralUS wybierz sieciową grupę zabezpieczeń AADDS-HDIFabrikam.com-sieciową grupę zabezpieczeń.

    2. W obszarze Ustawienia wybierz pozycję Reguły>zabezpieczeń dla ruchu przychodzącego Dodaj.

    3. Na stronie Dodawanie reguły zabezpieczeń dla ruchu przychodzącego wprowadź następujące właściwości i wybierz pozycję Dodaj:

      Właściwości Wartość
      Lokalizacja źródłowa Dowolne
      Zakresy portów źródłowych *
      Element docelowy Dowolne
      Zakres portów docelowych 636
      Protokół Dowolne
      Akcja Zezwalaj
      Priorytet <Żądana liczba>
      Nazwisko Port_LDAP_636

      The Add inbound security rule dialog box.

HDIFabrikamManagedIdentity to tożsamość zarządzana przypisana przez użytkownika. Rola Współautor usług domenowych w usłudze HDInsight jest włączona dla tożsamości zarządzanej, która umożliwi tej tożsamości odczytywanie, tworzenie, modyfikowanie i usuwanie operacji usług domenowych.

Create a user-assigned managed identity.

Tworzenie klastra usługi HDInsight z obsługą esp

Ten krok wymaga następujących wymagań wstępnych:

  1. Utwórz nową grupę zasobów HDIFabrikam-WestUS w lokalizacji Zachodnie stany USA.

  2. Utwórz sieć wirtualną, która będzie hostować klaster usługi HDInsight z obsługą esp.

    $virtualNetwork = New-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS' -Location 'West US' -Name 'HDIFabrikam-HDIVNet' -AddressPrefix 10.1.0.0/16
$subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name 'SparkSubnet' -AddressPrefix 10.1.0.0/24 -VirtualNetwork $virtualNetwork
$virtualNetwork | Set-AzVirtualNetwork

  3. Utwórz relację równorzędną między siecią wirtualną, która hostuje usługi Microsoft Entra Domain Services (HDIFabrikam-AADDSVNET) i sieć wirtualną, która będzie hostować klaster usługi HDInsight z obsługą protokołu ESP (HDIFabrikam-HDIVNet). Użyj następującego kodu programu PowerShell, aby zastosować komunikację równorzędną z dwiema sieciami wirtualnymi.

    Add-AzVirtualNetworkPeering -Name 'HDIVNet-AADDSVNet' -RemoteVirtualNetworkId (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS').Id -VirtualNetwork (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS')

Add-AzVirtualNetworkPeering -Name 'AADDSVNet-HDIVNet' -RemoteVirtualNetworkId (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS').Id -VirtualNetwork (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS')

  4. Utwórz nowe konto usługi Azure Data Lake Storage Gen2 o nazwie Hdigen2store. Skonfiguruj konto przy użyciu tożsamości zarządzanej przez użytkownika HDIFabrikamManagedIdentity. Aby uzyskać więcej informacji, zobacz Korzystanie z usługi Azure Data Lake Storage Gen2 z klastrami usługi Azure HDInsight.

  5. Skonfiguruj niestandardowy system DNS w sieci wirtualnej HDIFabrikam-AADDSVNET .

    1. Przejdź do grupy>zasobów witryny Azure Portal> OnPremADVRG>HDIFabrikam-AADDSVNET>DNS.

    2. Wybierz pozycję Niestandardowe i wprowadź 10.0.0.4 i 10.0.0.5.

    3. Wybierz pozycję Zapisz.

      Save custom DNS settings for a virtual network.

  6. Utwórz nowy klaster SPARK z obsługą espinsight.

    1. Wybierz pozycję Niestandardowe (rozmiar, ustawienia, aplikacje).

    2. Wprowadź szczegóły dotyczące podstaw (sekcja 1). Upewnij się, że typ klastra to Spark 2.3 (HDI 3.6). Upewnij się, że grupa zasobów to HDIFabrikam-CentralUS.

    3. W obszarze Zabezpieczenia i sieć (sekcja 2) podaj następujące informacje:

      • W obszarze Pakiet Enterprise Security wybierz pozycję Włączone.

      • Wybierz użytkownika administratora klastra i wybierz konto usługi HDI Administracja utworzone jako użytkownik administratora lokalnego. Kliknij opcję Wybierz.

      • Wybierz pozycję Grupa>dostępu klastra HDIUserGroup. Każdy użytkownik dodany do tej grupy w przyszłości będzie mógł uzyskiwać dostęp do klastrów usługi HDInsight.

        Select the cluster access group HDIUserGroup.

    4. Wykonaj inne kroki konfiguracji klastra i sprawdź szczegóły podsumowania klastra. Wybierz pozycję Utwórz.

  7. Zaloguj się do interfejsu użytkownika systemu Ambari dla nowo utworzonego klastra pod adresem https://CLUSTERNAME.azurehdinsight.net. Użyj nazwy użytkownika hdiadmin@hdifabrikam.com administratora i jego hasła.

    The Apache Ambari UI sign-in window.

  8. Na pulpicie nawigacyjnym klastra wybierz pozycję Role.

  9. Na stronie Role w obszarze Przypisywanie ról do tych obok roli klastra Administracja istrator wprowadź grupę hdiusergroup.

    Assign the cluster admin role to hdiusergroup.

  10. Otwórz klienta protokołu Secure Shell (SSH) i zaloguj się do klastra. Użyj użytkownika hdiuser utworzonego w wystąpieniu lokalna usługa Active Directory.

    Sign in to the cluster by using the SSH client.

Jeśli możesz zalogować się przy użyciu tego konta, klaster ESP został poprawnie skonfigurowany do synchronizacji z wystąpieniem lokalna usługa Active Directory.

Następne kroki

Przeczytaj wprowadzenie do zabezpieczeń usługi Apache Hadoop przy użyciu esp.