HDInsight'ta Kurumsal Güvenlik Paketini Kullanma

  • Makale

Standart Azure HDInsight kümesi tek kullanıcılı bir kümedir. Büyük veri iş yükleri oluşturan daha küçük uygulama ekiplerine sahip çoğu şirket için uygundur. Her kullanıcı isteğe bağlı olarak ayrılmış bir küme oluşturabilir ve artık gerekli olmadığında kümeyi yok edebilir.

Birçok kuruluş, BT ekiplerinin kümeleri yönettiği ve birden çok uygulama ekibinin kümeleri paylaştığı bir modele yöneldi. Bu büyük kuruluşlar, Azure HDInsight'taki her kümeye çok kullanıcılı erişime ihtiyaç duyar.

HDInsight, popüler bir kimlik sağlayıcısı olan Active Directory'yi yönetilen bir şekilde kullanır. HDInsight'ı Microsoft Entra Domain Services ile tümleştirerek, etki alanı kimlik bilgilerinizi kullanarak kümelere erişebilirsiniz.

HDInsight'taki sanal makineler (VM'ler) sağlanan etki alanınıza katılır. Bu nedenle, HDInsight üzerinde çalışan tüm hizmetler (Apache Ambari, Apache Hive sunucusu, Apache Ranger, Apache Spark thrift sunucusu ve diğerleri) kimliği doğrulanmış kullanıcı için sorunsuz bir şekilde çalışır. Yönetici istrator'lar daha sonra Apache Ranger kullanarak kümedeki kaynaklar için rol tabanlı erişim denetimi sağlayarak güçlü yetkilendirme ilkeleri oluşturabilir.

HDInsight’ı Active Directory ile tümleştirin

Açık kaynak Apache Hadoop, kimlik doğrulaması ve güvenlik için Kerberos protokolüne dayanır. Bu nedenle, Kurumsal Güvenlik Paketi (ESP) içeren HDInsight küme düğümleri, Microsoft Entra Domain Services tarafından yönetilen bir etki alanına katılır. Kerberos güvenliği kümedeki Hadoop bileşenleri için yapılandırılır.

Aşağıdaki öğeler otomatik olarak oluşturulur:

  • Her Hadoop bileşeni için bir hizmet sorumlusu
  • Etki alanına katılmış her makine için bir makine sorumlusu
  • Bu hizmeti ve makine sorumlularını depolamak için her küme için bir Kuruluş Birimi (OU)

Özetlemek gerekirse, şu şekilde bir ortam ayarlamanız gerekir:

  • Bir Active Directory etki alanı (Microsoft Entra Domain Services tarafından yönetilir). Azure HDInsight ile çalışmak için etki alanı adının 39 karakter veya daha kısa olması gerekir.
  • Microsoft Entra Etki Alanı Hizmetleri'nde etkin güvenli LDAP (LDAPS).
  • HdInsight sanal ağından Microsoft Entra Domain Services sanal ağına doğru ağ bağlantısı( bunlar için ayrı sanal ağlar seçerseniz). HDInsight sanal ağı içindeki bir VM'nin, sanal ağ eşlemesi aracılığıyla Microsoft Entra Domain Services'ı görme hattı olmalıdır. HDInsight ve Microsoft Entra Domain Services aynı sanal ağda dağıtılırsa, bağlantı otomatik olarak sağlanır ve başka bir işlem gerekmez.

Farklı etki alanı denetleyicileri ayarlama

HDInsight şu anda kümenin Kerberos iletişimi için kullandığı ana etki alanı denetleyicisi olarak yalnızca Microsoft Entra Domain Services'i desteklemektedir. Ancak bu tür bir kurulum HDInsight için Microsoft Entra Domain Services erişimini etkinleştirmeye yol açtığı sürece diğer karmaşık Active Directory kurulumları mümkündür.

Microsoft Entra Domain Services

Microsoft Entra Domain Services , Windows Server Active Directory ile tam uyumlu bir yönetilen etki alanı sağlar. Microsoft, yüksek oranda kullanılabilir (HA) bir kurulumda etki alanını yönetme, düzeltme eki uygulama ve izleme ile ilgilenir. Etki alanı denetleyicilerini koruma konusunda endişelenmeden kümenizi dağıtabilirsiniz.

Kullanıcılar, gruplar ve parolalar Microsoft Entra Id'den eşitlenir. Microsoft Entra örneğinizden Microsoft Entra Etki Alanı Hizmetleri'ne tek yönlü eşitleme, kullanıcıların aynı şirket kimlik bilgilerini kullanarak kümede oturum açmasını sağlar.

Daha fazla bilgi için bkz . Microsoft Entra Domain Services kullanarak ESP ile HDInsight kümelerini yapılandırma.

Şirket içi Active Directory veya IaaS VM'leri üzerinde Active Directory

Etki alanınız için şirket içi Active Directory bir örneğiniz veya daha karmaşık Active Directory kurulumlarınız varsa, Microsoft Entra Bağlan kullanarak bu kimlikleri Microsoft Entra Id ile eşitleyebilirsiniz. Daha sonra bu Active Directory kiracısı üzerinde Microsoft Entra Domain Services'ı etkinleştirebilirsiniz.

Kerberos parola karmalarına bağlı olduğundan, Microsoft Entra Domain Services'da parola karması eşitlemesini etkinleştirmeniz gerekir.

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile federasyon kullanıyorsanız parola karması eşitlemeyi etkinleştirmeniz gerekir. (Önerilen kurulum için bu videoya bakın.) Parola karması eşitleme, AD FS altyapınızın başarısız olması durumunda olağanüstü durum kurtarmaya yardımcı olur ve ayrıca sızdırılan kimlik bilgileri koruması sağlamaya da yardımcı olur. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync ile parola karması eşitlemesini etkinleştirme.

Microsoft Entra Id ve Microsoft Entra Domain Services olmadan yalnızca IaaS VM'lerinde şirket içi Active Directory veya Active Directory kullanmak, ESP ile HDInsight kümeleri için desteklenen bir yapılandırma değildir.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Federasyon kullanılıyorsa ve parola karmaları doğru eşitleniyorsa ancak kimlik doğrulaması hataları alıyorsanız PowerShell hizmet sorumlusu için bulut parolası kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetleyin. Aksi takdirde, Microsoft Entra kiracınız için bir Ev Bölgesi Bulma (HRD) ilkesi ayarlamanız gerekir. HRD ilkesini denetlemek ve ayarlamak için:

  1. Önizleme Azure AD PowerShell modülünü yükleyin.

    Install-Module AzureAD

  2. Genel yönetici (kiracı yöneticisi) kimlik bilgilerini kullanarak Bağlan.

    Connect-AzureAD

  3. Microsoft Azure PowerShell hizmet sorumlusunun önceden oluşturulup oluşturulmadığını denetleyin.

    Get-AzureADServicePrincipal -SearchString "Microsoft Azure PowerShell"

  4. Yoksa hizmet sorumlusunu oluşturun.

    $powershellSPN = New-AzureADServicePrincipal -AppId 1950a258-227b-4e31-a9cf-717495945fc2

  5. İlkeyi oluşturun ve bu hizmet sorumlusuna ekleyin.

     # Determine whether policy exists
 Get-AzureADPolicy | Where {$_.DisplayName -eq "EnableDirectAuth"}

 # Create if not exists
 $policy = New-AzureADPolicy `
     -Definition @('{"HomeRealmDiscoveryPolicy":{"AllowCloudPasswordValidation":true}}') `
     -DisplayName "EnableDirectAuth" `
     -Type "HomeRealmDiscoveryPolicy"

 # Determine whether a policy for the service principal exist
 Get-AzureADServicePrincipalPolicy `
     -Id $powershellSPN.ObjectId

 # Add a service principal policy if not exist
 Add-AzureADServicePrincipalPolicy `
     -Id $powershellSPN.ObjectId `
     -refObjectID $policy.ID

Sonraki adımlar