Azure HDInsight için aktarım sırasında IPsec Şifrelemesi
Bu makalede, Azure HDInsight küme düğümleri arasındaki iletişim için aktarım sırasında şifrelemenin uygulanması ele alınmaktadır.
Background
Azure HDInsight, kurumsal verilerinizin güvenliğini sağlamaya yönelik çeşitli güvenlik özellikleri sunar. Bu çözümler çevre güvenliği, kimlik doğrulaması, yetkilendirme, denetim, şifreleme ve uyumluluk sütunları altında gruplandırılır. Şifreleme hem bekleyen hem de aktarımdaki verilere uygulanabilir.
Bekleyen şifreleme, Azure depolama hesaplarında sunucu tarafı şifrelemenin yanı sıra HDInsight kümenizin bir parçası olan Azure VM'lerinde disk şifrelemesi kapsamındadır.
HDInsight'ta aktarımdaki verilerin şifrelenmesi, küme ağ geçitlerine erişmek için Aktarım Katmanı Güvenliği (TLS) ve küme düğümleri arasında İnternet Protokolü Güvenliği (IPsec) ile gerçekleştirilir. IPsec isteğe bağlı olarak tüm baş düğümler, çalışan düğümleri, kenar düğümleri, zookeeper düğümlerinin yanı sıra ağ geçidi ve kimlik aracısı düğümleri arasında etkinleştirilebilir.
Aktarım sırasında şifrelemeyi etkinleştirme
Azure portal
Azure portalını kullanarak aktarımda şifreleme etkinleştirilmiş yeni bir küme oluşturmak için aşağıdaki adımları uygulayın:
Normal küme oluşturma işlemine başlayın. İlk küme oluşturma adımları için bkz . Azure portalını kullanarak HDInsight'ta Linux tabanlı kümeler oluşturma.
Temel Bilgiler ve Depolama sekmelerini tamamlayın. Güvenlik + Ağ sekmesine geçin.
Güvenlik + Ağ sekmesinde Aktarımda şifrelemeyi etkinleştir onay kutusunu seçin.
Azure CLI aracılığıyla aktarımda şifreleme etkinleştirilmiş bir küme oluşturma
Aktarımdaki şifreleme özelliği kullanılarak isEncryptionInTransitEnabled etkinleştirilir.
Örnek bir şablon ve parametre dosyası indirebilirsiniz. Aşağıdaki şablonu ve Azure CLI kod parçacığını kullanmadan önce aşağıdaki yer tutucuları doğru değerlerle değiştirin:
| Yer tutucu | Açıklama |
|---|---|
<SUBSCRIPTION_ID> |
Azure aboneliğinizin kimliği |
<RESOURCE_GROUP> |
Yeni küme ve depolama hesabının oluşturulmasını istediğiniz kaynak grubu. |
<STORAGEACCOUNTNAME> |
Kümeyle birlikte kullanılması gereken mevcut depolama hesabı. Ad formda olmalıdır ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
HDInsight kümenizin adı. |
<PASSWORD> |
SSH ve Ambari panosunu kullanarak kümede oturum açmak için seçtiğiniz parola. |
<VNET_NAME> |
Kümenin dağıtılacağı sanal ağ. |
Aşağıdaki kod parçacığı aşağıdaki ilk adımları uygular:
- Azure hesabınızda oturum açar.
- Oluşturma işlemlerinin yapılacağı etkin aboneliği ayarlar.
- Yeni dağıtım etkinlikleri için yeni bir kaynak grubu oluşturur.
- Şablonu dağıtarak yeni bir küme oluşturun.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json