您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

在 Azure HDInsight 中创建和配置企业安全性套餐群集Create and configure Enterprise Security Package clusters in Azure HDInsight

对于 Azure 中的 Apache Hadoop 群集,你可以通过用于 Azure HDInsight 的企业安全性套餐 (ESP) 来访问基于 Active Directory 的身份验证、多用户支持以及基于角色的访问控制。Enterprise Security Package (ESP) for Azure HDInsight gives you access to Active Directory-based authentication, multiuser support, and role-based access control for your Apache Hadoop clusters in Azure. 遵循严格的企业安全策略的组织可以使用 HDInsight ESP 群集安全地处理敏感数据。HDInsight ESP clusters enable organizations that adhere to strict corporate security policies to process sensitive data securely.

本指南介绍了如何创建启用了 ESP 的 Azure HDInsight 群集。This guide shows how to create an ESP-enabled Azure HDInsight cluster. 此外还介绍了如何创建在其上启用了 Active Directory 和域名系统 (DNS) 的 Windows IaaS VM。It also shows how to create a Windows IaaS VM on which Active Directory and Domain Name System (DNS) are enabled. 可以使用本指南来配置必要的资源,以允许本地用户登录到启用了 ESP 的 HDInsight 群集。Use this guide to configure the necessary resources to allow on-premises users to sign in to an ESP-enabled HDInsight cluster.

你创建的服务器将充当实际本地环境的替代项。The server you create will act as a replacement for your actual on-premises environment. 可以将它用于设置和配置步骤。You'll use it for the setup and configuration steps. 稍后你将在自己的环境中重复这些步骤。Later you'll repeat the steps in your own environment.

还可以参照本指南,通过将密码哈希同步与 Azure Active Directory (Azure AD) 配合使用来创建混合标识环境。This guide will also help you create a hybrid identity environment by using password hash sync with Azure Active Directory (Azure AD). 本指南是对在 HDInsight 中使用 ESP 的补充。The guide complements Use ESP in HDInsight.

在你自己的环境中使用此过程之前,请执行以下操作:Before you use this process in your own environment:

  • 设置 Active Directory 和 DNS。Set up Active Directory and DNS.
  • 启用 Azure AD。Enable Azure AD.
  • 将本地用户帐户同步到 Azure AD。Sync on-premises user accounts to Azure AD.

Azure AD 体系结构图

创建本地环境Create an on-premises environment

在本部分中,你将使用 Azure 快速入门部署模板来创建新的 VM、配置 DNS 以及添加新的 Active Directory 林。In this section, you'll use an Azure Quickstart deployment template to create new VMs, configure DNS, and add a new Active Directory forest.

  1. 请转到快速入门部署模板,以便使用新的 Active Directory 林创建 Azure VMGo to the Quickstart deployment template to Create an Azure VM with a new Active Directory forest.

  2. 选择“部署到 Azure”。Select Deploy to Azure.

  3. 登录到 Azure 订阅。Sign in to your Azure subscription.

  4. 在“使用新的 AD 林创建 Azure VM”页中提供以下信息:On the Create an Azure VM with a new AD Forest page, provide the following information:

    属性Property Value
    订阅Subscription 选择要在其中部署资源的订阅。Select the subscription where you want to deploy the resources.
    资源组Resource group 选择“新建”,并输入名称 OnPremADVRGSelect Create new, and enter the name OnPremADVRG
    位置Location 选择一个位置。Select a location.
    管理员用户名Admin Username HDIFabrikamAdmin
    管理员密码Admin Password 输入密码。Enter a password.
    域名Domain Name HDIFabrikam.com
    DNS 前缀Dns Prefix hdifabrikam

    保留其余默认值。Leave the remaining default values.

    用于通过新的 Azure AD 林创建 Azure VM 的模板

  5. 查看“条款和条件”,然后选择“我同意上述条款和条件”。 Review the Terms and Conditions, and then select I agree to the terms and conditions stated above.

  6. 选择“购买”,监视部署并等待其完成。Select Purchase, and monitor the deployment and wait for it to complete. 部署需要大约 30 分钟才能完成。The deployment takes about 30 minutes to complete.

配置用于群集访问的用户和组Configure users and groups for cluster access

在此部分中,你将创建在本指南结束时有权访问 HDInsight 群集的用户。In this section, you'll create the users that will have access to the HDInsight cluster by the end of this guide.

  1. 使用远程桌面连接到域控制器。Connect to the domain controller by using Remote Desktop.

    1. 在 Azure 门户中,导航到“资源组” > “OnPremADVRG” > “adVM” > “连接”。From the Azure portal, navigate to Resource groups > OnPremADVRG > adVM > Connect.
    2. 从“IP 地址”下拉列表中,选择公共 IP 地址。From the IP address drop-down list, select the public IP address.
    3. 选择“下载 RDP 文件”,然后打开该文件。Select Download RDP File, and then open the file.
    4. 使用 HDIFabrikam\HDIFabrikamAdmin 作为用户名。Use HDIFabrikam\HDIFabrikamAdmin as the user name.
    5. 输入为管理员帐户选择的密码。Enter the password that you chose for the admin account.
    6. 选择“确定” 。Select OK.
  2. 从域控制器的“服务器管理器”仪表板导航到“工具” > “Active Directory 用户和计算机”。 From the domain controller Server Manager dashboard, navigate to Tools > Active Directory Users and Computers.

    在“服务器管理器”仪表板上打开“Active Directory 管理”

  3. 创建两个新用户:HDIAdminHDIUserCreate two new users: HDIAdmin and HDIUser. 这两个用户将登录到 HDInsight 群集。These two users will sign in to HDInsight clusters.

    1. 在“Active Directory 用户和计算机”页中右键单击“HDIFabrikam.com”,然后导航到“新建” > “用户”。 From the Active Directory Users and Computers page, right-click HDIFabrikam.com, and then navigate to New > User.

      创建新的 Active Directory 用户

    2. 在“新建对象 - 用户”页上,输入 HDIUser 作为 名字用户登录名On the New Object - User page, enter HDIUser for First name and User logon name. 其他字段会自动填充。The other fields will autopopulate. 然后,选择“下一步”。Then select Next.

      创建第一个管理员用户对象

    3. 在出现的弹出窗口中,输入新帐户的密码。In the pop-up window that appears, enter a password for the new account. 选择“密码永不过期”,然后在弹出消息中选择“确定”。Select Password never expires, and then OK at the pop-up message.

    4. 选择“下一步”,然后选择“完成”以创建新帐户。Select Next, and then Finish to create the new account.

    5. 重复上述步骤以创建用户 HDIAdminRepeat the above steps to create the user HDIAdmin.

      创建另外一个管理员用户对象

  4. 创建全局安全组。Create a global security group.

    1. 在“Active Directory 用户和计算机”中右键单击“HDIFabrikam.com”,然后导航到“新建” > “组”。 From Active Directory Users and Computers, right-click HDIFabrikam.com, and then navigate to New > Group.

    2. 在“组名”文本框中输入 HDIUserGroupEnter HDIUserGroup in the Group name text box.

    3. 选择“确定” 。Select OK.

    创建新的 Active Directory 组

    创建新对象

  5. HDIUserGroup 中添加成员。Add members to HDIUserGroup.

    1. 右键单击“HDIUser”并选择“添加到组...”。 Right-click HDIUser and select Add to a group....

    2. 在“输入要选择的对象名称”文本框中输入“HDIUserGroup”。In the Enter the object names to select text box, enter HDIUserGroup. 接着选择“确定”,然后再在弹出窗口中选择“确定”。 Then select OK, and OK again at the pop-up.

    3. 针对 HDIAdmin 帐户重复前面的步骤。Repeat the previous steps for the HDIAdmin account.

      将成员 HDIUser 添加到组 HDIUserGroup

你现在已创建了 Active Directory 环境。You've now created your Active Directory environment. 你已添加了可以访问 HDInsight 群集的两个用户和一个用户组。You've added two users and a user group that can access the HDInsight cluster.

用户将与 Azure AD 同步。The users will be synchronized with Azure AD.

创建 Azure AD 目录Create an Azure AD directory

  1. 登录到 Azure 门户。Sign in to the Azure portal.

  2. 选择“创建资源”,然后键入 directorySelect Create a resource and type directory. 选择“Azure Active Directory” > “创建”Select Azure Active Directory > Create.

  3. 在“组织名称”下,输入 HDIFabrikamUnder Organization name, enter HDIFabrikam.

  4. 在“初始域名”下,输入 HDIFabrikamoutlookUnder Initial domain name, enter HDIFabrikamoutlook.

  5. 选择“创建” 。Select Create.

    创建 Azure AD 目录

创建自定义域Create a custom domain

  1. 在新 Azure Active Directory 中的“管理”下,选择“自定义域名” 。From your new Azure Active Directory, under Manage, select Custom domain names.
  2. 选择“+ 添加自定义域”。Select + Add custom domain.
  3. 在“自定义域名”下输入 HDIFabrikam.com,然后选择“添加域”。Under Custom domain name, enter HDIFabrikam.com, and then select Add domain.
  4. 然后完成将 DNS 信息添加到域注册机构的操作。Then complete Add your DNS information to the domain registrar.

创建自定义域

创建组Create a group

  1. 在新的 Azure Active Directory 中,在“管理”下选择“组” 。From your new Azure Active Directory, under Manage, select Groups.
  2. 选择“+ 新建组”。Select + New group.
  3. 在“组名”文本框中输入 AAD DC AdministratorsIn the group name text box, enter AAD DC Administrators.
  4. 选择“创建” 。Select Create.

配置 Azure AD 租户Configure your Azure AD tenant

现在需要配置你的 Azure AD 租户,以便将本地 Active Directory 实例中的用户和组同步到云。Now you'll configure your Azure AD tenant so that you can synchronize users and groups from the on-premises Active Directory instance to the cloud.

创建 Active Directory 租户管理员。Create an Active Directory tenant administrator.

  1. 登录到 Azure 门户并选择 Azure AD 租户 HDIFabrikamSign in to the Azure portal and select your Azure AD tenant, HDIFabrikam.

  2. 导航到“管理” > “用户” > “新建用户”。Navigate to Manage > Users > New user.

  3. 为新用户输入以下详细信息:Enter the following details for the new user:

    标识Identity

    属性Property 说明Description
    用户名User name 在文本框中输入 fabrikamazureadminEnter fabrikamazureadmin in the text box. 从域名下拉列表中,选择 hdifabrikam.comFrom the domain name drop-down list, select hdifabrikam.com
    名称Name 输入 fabrikamazureadminEnter fabrikamazureadmin.

    密码Password

    1. 选择“让我创建密码”。Select Let me create the password.
    2. 输入你选择的安全密码。Enter a secure password of your choice.

    组和角色Groups and roles

    1. 选择“已选择 0 个组”。Select 0 groups selected.
    2. 选择“AAD DC 管理员”,然后选择“选择”。 Select AAD DC Administrators, and then Select.

    “Azure AD 组”对话框

    1. 选择“用户”。Select User.
    2. 选择“全局管理员”,然后选择“选择”。Select Global administrator, and then Select.

    “Azure AD 角色”对话框

  4. 选择“创建” 。Select Create.

  5. 然后让新用户登录到 Azure 门户,系统会提示用户更改密码。Then have the new user sign in to the Azure portal where it will be prompted to change the password. 在配置 Microsoft Azure Active Directory Connect 之前,需要执行此操作。You'll need to do this before configuring Microsoft Azure Active Directory Connect.

将本地用户同步到 Azure ADSync on-premises users to Azure AD

配置 Microsoft Azure Active Directory ConnectConfigure Microsoft Azure Active Directory Connect

  1. 从域控制器下载 Microsoft Azure Active Directory ConnectFrom the domain controller, download Microsoft Azure Active Directory Connect.

  2. 打开已下载的可执行文件,同意许可条款。Open the executable file that you downloaded, and agree to the license terms. 选择“继续”。Select Continue.

  3. 选择“使用快速设置”。Select Use express settings.

  4. 在“连接到 Azure AD”页上,输入 Azure AD 的全局管理员的用户名和密码。On the Connect to Azure AD page, enter the username and password of the global administrator for Azure AD. 使用在配置 Active Directory 租户时创建的用户名 fabrikamazureadmin@hdifabrikam.comUse the username fabrikamazureadmin@hdifabrikam.com that you created when you configured your Active Directory tenant. 然后,选择“下一步”。Then select Next.

    "连接到 Azure A D" 页。

  5. 在“连接到 Active Directory 域服务”页上,输入企业管理员帐户的用户名和密码。On the Connect to Active Directory Domain Services page, enter the username and password for an enterprise admin account. 使用之前创建的用户名 HDIFabrikam\HDIFabrikamAdmin 及其密码。Use the username HDIFabrikam\HDIFabrikamAdmin and its password that you created earlier. 然后,选择“下一步”。Then select Next.

    "连接到 D D S" 页。

  6. 在“Azure AD 登录配置”页上,选择“下一步”。 On the Azure AD sign-in configuration page, select Next. “Azure AD 登录配置”页面The "Azure AD sign-in configuration" page

  7. 在“已准备好进行配置”页上,选择“安装” 。On the Ready to configure page, select Install.

    “已准备好进行配置”页面

  8. 在“配置完成”页面上,选择“退出” 。On the Configuration complete page, select Exit. “配置完成”页面The "Configuration complete" page

  9. 完成同步后,确认在 IaaS 目录上创建的用户是否已同步到 Azure AD。After the sync completes, confirm that the users you created on the IaaS directory are synced to Azure AD.

    1. 登录到 Azure 门户。Sign in to the Azure portal.
    2. 选择“Azure Active Directory” > “HDIFabrikam” > “用户”。Select Azure Active Directory > HDIFabrikam > Users.

创建用户分配的托管标识Create a user-assigned managed identity

创建用户分配的托管标识,你可以使用它来配置 Azure AD 域服务 (Azure AD DS)。Create a user-assigned managed identity that you can use to configure Azure AD Domain Services (Azure AD DS). 有关详细信息,请参阅使用 Azure 门户创建、列出、删除用户分配的托管标识或为其分配角色For more information, see Create, list, delete, or assign a role to a user-assigned managed identity by using the Azure portal.

  1. 登录到 Azure 门户。Sign in to the Azure portal.
  2. 选择“创建资源”,然后键入 managed identitySelect Create a resource and type managed identity. 选择“用户分配的托管标识” > “创建”。 Select User Assigned Managed Identity > Create.
  3. 对于“资源名称”,请输入 HDIFabrikamManagedIdentityFor the Resource Name, enter HDIFabrikamManagedIdentity.
  4. 选择订阅。Select your subscription.
  5. 在“资源组”下,选择“新建”,然后输入 HDIFabrikam-CentralUSUnder Resource group, select Create new and enter HDIFabrikam-CentralUS.
  6. 在“位置”下,选择“美国中部”。 Under Location, select Central US.
  7. 选择“创建” 。Select Create.

创建新的、用户分配的托管标识

启用 Azure AD DSEnable Azure AD DS

按以下步骤启用 Azure AD DS。Follow these steps to enable Azure AD DS. 有关详细信息,请参阅通过 Azure 门户启用 Azure AD DSFor more information, see Enable Azure AD DS by using the Azure portal.

  1. 创建虚拟网络以承载 Azure AD DS。Create a virtual network to host Azure AD DS. 运行以下 PowerShell 代码。Run the following PowerShell code.

    # Sign in to your Azure subscription
    $sub = Get-AzSubscription -ErrorAction SilentlyContinue
    if(-not($sub))
    {
        Connect-AzAccount
    }
    
    # If you have multiple subscriptions, set the one to use
    # Select-AzSubscription -SubscriptionId "<SUBSCRIPTIONID>"
    
    $virtualNetwork = New-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS' -Location 'Central US' -Name 'HDIFabrikam-AADDSVNET' -AddressPrefix 10.1.0.0/16
    $subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name 'AADDS-subnet' -AddressPrefix 10.1.0.0/24 -VirtualNetwork $virtualNetwork
    $virtualNetwork | Set-AzVirtualNetwork
    
  2. 登录到 Azure 门户。Sign in to the Azure portal.

  3. 选择“创建资源”,输入“Domain services”,然后选择“Azure AD 域服务” > “创建”。 Select Create resource, enter Domain services, and select Azure AD Domain Services > Create.

  4. 在“基本信息”页上执行以下操作:On the Basics page:

    1. 在“目录名称”下,选择你已创建的 Azure AD 目录:HDIFabrikamUnder Directory name, select the Azure AD directory you created: HDIFabrikam.

    2. 对于“DNS 域名”,请输入 HDIFabrikam.comFor DNS domain name, enter HDIFabrikam.com.

    3. 选择订阅。Select your subscription.

    4. 指定资源组 HDIFabrikam-CentralUSSpecify the resource group HDIFabrikam-CentralUS. 对于“位置”,请选择“美国中部”。 For Location, select Central US.

      Azure AD DS 基本详细信息

  5. 在“网络”页上,选择通过 PowerShell 脚本创建的网络 (HDIFabrikam-VNET) 和子网 (AADDS-subnet)。On the Network page, select the network (HDIFabrikam-VNET) and the subnet (AADDS-subnet) that you created by using the PowerShell script. 或者选择“新建”,立即创建虚拟网络。Or choose Create new to create a virtual network now.

    “创建虚拟网络”步骤

  6. 在“管理员组”页上,应该会显示一条通知,指出已创建名为“AAD DC 管理员”的组来管理此组。On the Administrator group page, you should see a notification that a group named AAD DC Administrators has already been created to administer this group. 可以根据需要修改此组的成员身份,但在此示例中,你不需要更改它。You can modify the membership of this group if you want to, but in this case you don't need to change it. 选择“确定” 。Select OK.

    查看 Azure AD 管理员组

  7. 在“同步”页上,通过选择“所有” > “确定”来启用完全同步。On the Synchronization page, enable complete synchronization by selecting All > OK.

    启用 Azure AD DS 同步

  8. 在“摘要”页上验证 Azure AD DS 的详细信息,然后选择“确定” 。On the Summary page, verify the details for Azure AD DS and select OK.

    “启用 Azure AD 域服务”的摘要

启用 Azure AD DS 后,本地 DNS 服务器将在 Azure AD VM 上运行。After you enable Azure AD DS, a local DNS server runs on the Azure AD VMs.

配置 Azure AD DS 虚拟网络Configure your Azure AD DS virtual network

请通过以下步骤将 Azure AD DS 虚拟网络 (HDIFabrikam-AADDSVNET) 配置为使用自定义 DNS 服务器。Use the following steps to configure your Azure AD DS virtual network (HDIFabrikam-AADDSVNET) to use your custom DNS servers.

  1. 找到自定义 DNS 服务器的 IP 地址。Locate the IP addresses of your custom DNS servers.

    1. 选择 HDIFabrikam.com Azure AD DS 资源。Select the HDIFabrikam.com Azure AD DS resource.
    2. 在“管理”下,选择“属性” 。Under Manage, select Properties.
    3. 在“虚拟网络上的 IP 地址”找到此 IP 地址。Find the IP addresses under IP address on virtual network.

    查找 Azure AD DS 的自定义 DNS IP

  2. HDIFabrikam-AADDSVNET 配置为使用自定义 IP 地址 10.0.0.4 和 10.0.0.5。Configure HDIFabrikam-AADDSVNET to use custom IP addresses 10.0.0.4 and 10.0.0.5.

    1. 在“设置”下,选择“DNS 服务器”。 Under Settings, select DNS Servers.
    2. 选择“自定义”。Select Custom.
    3. 在文本框中输入第一个 IP 地址 (10.0.0.4)。In the text box, enter the first IP address (10.0.0.4).
    4. 选择“保存” 。Select Save.
    5. 重复这些步骤以添加另一个 IP 地址 (10.0.0.5)。Repeat the steps to add the other IP address (10.0.0.5).

在我们的方案中,我们已将 Azure AD DS 配置为使用 IP 地址 10.0.0.4 和 10.0.0.5,并在 Azure AD DS 虚拟网络上设置同一 IP 地址:In our scenario, we configured Azure AD DS to use IP addresses 10.0.0.4 and 10.0.0.5, setting the same IP address on the Azure AD DS virtual network:

“自定义 DNS 服务器”页

保护 LDAP 流量Securing LDAP traffic

将使用轻型目录访问协议 (LDAP) 从 Azure Active Directory 读取数据或将数据写入到 Azure Active Directory。Lightweight Directory Access Protocol (LDAP) is used to read from and write to Azure Active Directory. 可以通过使用安全套接字层 (SSL) 或传输层安全性 (TLS) 技术,确保 LDAP 流量的机密性和安全性。You can make LDAP traffic confidential and secure by using Secure Sockets Layer (SSL) or Transport Layer Security (TLS) technology. 可以通过安装正确格式的证书来启用基于 SSL 的 LDAP (LDAPS)。You can enable LDAP over SSL (LDAPS) by installing a properly formatted certificate.

有关安全 LDAP 的详细信息,请参阅为 Azure AD DS 托管域配置 LDAPFor more information about secure LDAP, see Configure LDAPS for an Azure AD DS managed domain.

在本部分中,你将创建一个自签名证书,下载该证书,并为 Azure AD DS 托管域 HDIFabrikam 配置 LDAPS。In this section, you create a self-signed certificate, download the certificate, and configure LDAPS for the HDIFabrikam Azure AD DS managed domain.

以下脚本为 HDIFabrikam 创建证书。The following script creates a certificate for HDIFabrikam. 证书保存在 LocalMachine 路径中。The certificate is saved in the LocalMachine path.

$lifetime = Get-Date
New-SelfSignedCertificate -Subject hdifabrikam.com `
-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.hdifabrikam.com, hdifabrikam.com

备注

可以使用可创建有效公钥加密标准 (PKCS) #10 请求的任何实用工具或应用程序来生成 TLS/SSL 证书请求。Any utility or application that creates a valid Public Key Cryptography Standards (PKCS) #10 request can be used to form the TLS/SSL certificate request.

请验证证书是否安装在计算机的“个人”存储中:Verify that the certificate is installed in the computer's Personal store:

  1. 启动 Microsoft 管理控制台 (MMC)。Start Microsoft Management Console (MMC).

  2. 添加用于在本地计算机上管理证书的“证书”管理单元。Add the Certificates snap-in that manages certificates on the local computer.

  3. 展开“证书(本地计算机)” > “个人” > “证书”。 Expand Certificates (Local Computer) > Personal > Certificates. “个人”存储中应存在一个新证书。A new certificate should exist in the Personal store. 此证书将颁发给完全限定的主机名。This certificate is issued to the fully qualified host name.

    验证本地证书创建

  4. 在右侧窗格中,右键单击所创建的证书。In pane on the right, right-click the certificate that you created. 指向“所有任务”,然后选择“导出”。Point to All Tasks, and then select Export.

  5. 在“导出私钥”页上,选择“是,导出私钥”。 On the Export Private Key page, select Yes, export the private key. 要将密钥导入其中的计算机需要具有私钥才能读取加密的消息。The computer where the key will be imported needs the private key to read the encrypted messages.

    证书导出向导的“导出私钥”页

  6. 在“导出文件格式”页上,保留默认设置,然后选择“下一步”。On the Export File Format page, leave the default settings, and then select Next.

  7. 在“密码”页上,键入与私钥相对应的密码。On the Password page, type a password for the private key. 对于“加密”,请选择“TripleDES-SHA1”。For Encryption, select TripleDES-SHA1. 然后,选择“下一步”。Then select Next.

  8. 在“要导出的文件”页上,键入导出的证书文件的路径和名称,然后选择“下一步”。 On the File to Export page, type the path and the name for the exported certificate file, and then select Next. 文件名必须带 .pfx 扩展名。The file name has to have a .pfx extension. 此文件是在 Azure 门户中配置的,用于建立安全连接。This file is configured in the Azure portal to establish a secure connection.

  9. 为 Azure AD DS 托管域启用 LDAPS。Enable LDAPS for an Azure AD DS managed domain.

    1. 从 Azure 门户中选择 HDIFabrikam.com 域。From the Azure portal, select the domain HDIFabrikam.com.
    2. 在“管理”下选择“安全 LDAP” 。Under Manage, select Secure LDAP.
    3. 在“安全 LDAP”页上,在“安全 LDAP”下,选择“启用”。 On the Secure LDAP page, under Secure LDAP, select Enable.
    4. 在计算机上浏览查找你导出的 .pfx 证书文件。Browse for the .pfx certificate file that you exported on your computer.
    5. 输入证书密码。Enter the certificate password.

    启用安全 LDAP

  10. 启用 LDAPS 后,请通过启用端口 636 来确保可以访问它。Now that you've enabled LDAPS, make sure it's reachable by enabling port 636.

    1. HDIFabrikam-CentralUS 资源组中,选择网络安全组 AADDS-HDIFabrikam.com-NSGIn the HDIFabrikam-CentralUS resource group, select the network security group AADDS-HDIFabrikam.com-NSG.

    2. 在“设置”下,选择“入站安全规则” > “添加”。 Under Settings, select Inbound security rules > Add.

    3. 在“添加入站安全规则”页上,输入以下属性,然后选择“添加” :On the Add inbound security rule page, enter the following properties, and select Add:

      属性Property Value
      SourceSource 任意Any
      源端口范围Source port ranges *
      目标Destination 任意Any
      目标端口范围Destination port range 636636
      协议Protocol AnyAny
      操作Action AllowAllow
      优先级Priority <Desired number>
      名称Name Port_LDAP_636Port_LDAP_636

    “添加入站安全规则”对话框

HDIFabrikamManagedIdentity 是用户分配的托管标识。HDIFabrikamManagedIdentity is the user-assigned managed identity. 为托管标识启用了 HDInsight 域服务参与者角色,该角色允许此标识读取、创建、修改和删除域服务操作。The HDInsight Domain Services Contributor role is enabled for the managed identity that will allow this identity to read, create, modify, and delete domain services operations.

创建用户分配的托管标识

创建启用了 ESP 的 HDInsight 群集Create an ESP-enabled HDInsight cluster

此步骤需要的先决条件如下:This step requires the following prerequisites:

  1. 在“美国西部”位置创建新的资源组“HDIFabrikam-WestUS”。Create a new resource group HDIFabrikam-WestUS in the location West US.

  2. 创建一个虚拟网络,用于承载启用了 ESP 的 HDInsight 群集。Create a virtual network that will host the ESP-enabled HDInsight cluster.

    $virtualNetwork = New-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS' -Location 'West US' -Name 'HDIFabrikam-HDIVNet' -AddressPrefix 10.1.0.0/16
    $subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name 'SparkSubnet' -AddressPrefix 10.1.0.0/24 -VirtualNetwork $virtualNetwork
    $virtualNetwork | Set-AzVirtualNetwork
    
  3. 在承载 Azure AD DS (HDIFabrikam-AADDSVNET) 的虚拟网络与将承载启用了 ESP 的 HDInsight 群集 (HDIFabrikam-HDIVNet) 的虚拟网络之间创建对等关系。Create a peer relationship between the virtual network that hosts Azure AD DS (HDIFabrikam-AADDSVNET) and the virtual network that will host the ESP-enabled HDInsight cluster (HDIFabrikam-HDIVNet). 使用以下 PowerShell 代码将这两个虚拟网络对等互连。Use the following PowerShell code to peer the two virtual networks.

    Add-AzVirtualNetworkPeering -Name 'HDIVNet-AADDSVNet' -RemoteVirtualNetworkId (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS').Id -VirtualNetwork (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS')
    
    Add-AzVirtualNetworkPeering -Name 'AADDSVNet-HDIVNet' -RemoteVirtualNetworkId (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-WestUS').Id -VirtualNetwork (Get-AzVirtualNetwork -ResourceGroupName 'HDIFabrikam-CentralUS')
    
  4. 创建新的名为 Hdigen2store 的 Azure Data Lake Storage Gen2 帐户。Create a new Azure Data Lake Storage Gen2 account called Hdigen2store. 为帐户配置用户管理的标识 HDIFabrikamManagedIdentityConfigure the account with the user-managed identity HDIFabrikamManagedIdentity. 有关详细信息,请参阅将 Azure Data Lake Storage Gen2 与 Azure HDInsight 群集配合使用For more information, see Use Azure Data Lake Storage Gen2 with Azure HDInsight clusters.

  5. HDIFabrikam-AADDSVNET 虚拟网络上设置自定义 DNS。Set up custom DNS on the HDIFabrikam-AADDSVNET virtual network.

    1. 转到 Azure 门户 >“资源组” > “OnPremADVRG” > “HDIFabrikam-AADDSVNET” > “DNS 服务器”。Go to the Azure portal > Resource groups > OnPremADVRG > HDIFabrikam-AADDSVNET > DNS servers.

    2. 选择“自定义”,然后输入 10.0.0.4 和 10.0.0.5。Select Custom and enter 10.0.0.4 and 10.0.0.5.

    3. 选择“保存” 。Select Save.

      保存虚拟网络的自定义 DNS 设置

  6. 创建新的启用了 ESP 的 HDInsight Spark 群集。Create a new ESP-enabled HDInsight Spark cluster.

    1. 选择“自定义(大小、设置、应用)”。Select Custom (size, settings, apps).

    2. 在“基本信息”(第 1 部分)中输入详细信息。Enter details for Basics (section 1). 确保“群集类型”为“Spark 2.3 (HDI 3.6)”。 Ensure that the Cluster type is Spark 2.3 (HDI 3.6). 确保“资源组”为“HDIFabrikam-CentralUS”。 Ensure that the Resource group is HDIFabrikam-CentralUS.

    3. 对于“安全性 + 网络”(第 2 部分),请填写以下详细信息:For Security + networking (section 2), fill in the following details:

      • 在“企业安全性套餐”下选择“启用” 。Under Enterprise Security Package, select Enabled.

      • 选择“群集管理员用户”,然后选择你以本地管理员用户身份创建的 HDIAdmin 帐户。Select Cluster admin user and select the HDIAdmin account that you created as the on-premises admin user. 单击“选择”。Click Select.

      • 选择“群集访问组” > “HDIUserGroup”。Select Cluster access group > HDIUserGroup. 将来添加到此组中的任何用户都将能够访问 HDInsight 群集。Any user that you add to this group in the future will be able to access HDInsight clusters.

        选择群集访问组 HDIUserGroup

    4. 完成其他的群集配置步骤,并验证“群集摘要”上的详细信息。Complete the other steps of the cluster configuration and verify the details on the Cluster summary. 选择“创建” 。Select Create.

  7. https://CLUSTERNAME.azurehdinsight.net 登录到新建群集的 Ambari UI。Sign in to the Ambari UI for the newly created cluster at https://CLUSTERNAME.azurehdinsight.net. 使用管理员用户名 hdiadmin@hdifabrikam.com 及其密码。Use your admin username hdiadmin@hdifabrikam.com and its password.

    Apache Ambari UI 登录窗口

  8. 从群集仪表板中选择“角色”。From the cluster dashboard, select Roles.

  9. 在“角色”页上,在“向这些项分配角色”下,在“群集管理员”角色旁边输入 hdiusergroup 组。 On the Roles page, under Assign roles to these, next to the Cluster Administrator role, enter the group hdiusergroup.

    将群集管理员角色分配给 hdiusergroup

  10. 打开你的安全外壳 (SSH) 客户端并登录到群集。Open your Secure Shell (SSH) client and sign in to the cluster. 使用在本地 Active Directory 实例中创建的 hdiuserUse the hdiuser that you created in the on-premises Active Directory instance.

    使用 SSH 客户端登录到群集

如果你可以通过此帐户登录,则表明你已将 ESP 群集正确配置为与本地 Active Directory 实例同步。If you can sign in with this account, you've configured your ESP cluster correctly to sync with your on-premises Active Directory instance.

后续步骤Next steps

阅读使用 ESP 实现 Apache Hadoop 安全性简介Read An introduction to Apache Hadoop security with ESP.