Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo discute a implementação da criptografia em trânsito para comunicação entre nodos do cluster do Azure HDInsight.
Fundo
O Azure HDInsight oferece uma variedade de recursos de segurança para proteger os dados da sua empresa. Essas soluções são agrupadas sob os pilares de segurança de perímetro, autenticação, autorização, auditoria, criptografia e conformidade. A criptografia pode ser aplicada aos dados em repouso e em trânsito.
A criptografia em repouso é coberta pela criptografia do lado do servidor nas contas de armazenamento do Azure, bem como pela criptografia de disco nas VMs do Azure que fazem parte do cluster HDInsight.
A criptografia de dados em trânsito no HDInsight é obtida com TLS (Transport Layer Security) para aceder às portas de acesso do cluster e IPsec (Internet Protocol Security) entre nós do cluster. O IPsec pode ser habilitado opcionalmente entre todos os nós principais, nós de trabalho, nós de borda, nós de zookeeper, bem como nós de gateway e agente de ID.
Ativar criptografia em trânsito
Portal do Azure
Para criar um novo cluster com criptografia em trânsito habilitada usando o portal do Azure, execute as seguintes etapas:
Inicie o processo normal de criação do cluster. Consulte Criar clusters baseados em Linux no HDInsight usando o portal do Azure para obter as etapas iniciais de criação do cluster.
Preencha as guias Noções básicas e Armazenamento . Vá para a guia Segurança + Rede .
Na guia Segurança + Rede, marque a caixa de seleção Habilitar criptografia em trânsito.
Criar um cluster com criptografia em trânsito habilitada por meio da CLI do Azure
A criptografia em trânsito é habilitada usando a propriedade isEncryptionInTransitEnabled.
Você pode transferir um modelo de exemplo e um arquivo de parâmetro. Antes de utilizar o modelo e o excerto de código da CLI do Azure abaixo, substitua os seguintes marcadores pelos seus valores corretos:
| Marcador de Posição | Descrição |
|---|---|
<SUBSCRIPTION_ID> |
A ID da sua subscrição do Azure |
<RESOURCE_GROUP> |
O grupo de recursos onde você deseja que o novo cluster e a conta de armazenamento sejam criados. |
<STORAGEACCOUNTNAME> |
A conta de armazenamento existente que deve ser usada com o cluster. O nome deve ser do formulário ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
O nome do cluster HDInsight. |
<PASSWORD> |
Sua senha escolhida para entrar no cluster usando SSH e o painel Ambari. |
<VNET_NAME> |
A rede virtual onde o cluster será implantado. |
O trecho de código abaixo executa as seguintes etapas iniciais:
- Inicia sessão na sua conta do Azure.
- Define a assinatura ativa onde as operações de criação serão feitas.
- Cria um novo grupo de recursos para as novas atividades de implantação.
- Implante o modelo para criar um novo cluster.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json