Enkripsi IPsec saat transit untuk Azure HDInsight
Artikel ini membahas implementasi enkripsi saat transit untuk komunikasi antar node kluster Azure HDInsight.
Latar belakang
Azure HDInsight menawarkan berbagai fitur keamanan untuk mengamankan data perusahaan Anda. Solusi ini dikelompokkan dalam grup keamanan perimeter, autentikasi, otorisasi, audit, enkripsi, dan kepatuhan. Enkripsi dapat diterapkan ke data baik saat masa jeda maupun saat transit.
Enkripsi saat masa jeda dicakup oleh enkripsi sisi server pada akun penyimpanan Azure serta enkripsi disk pada Azure VM yang merupakan bagian dari kluster HDInsight Anda.
Enkripsi data saat transit di HDInsight dicapai dengan Keamanan Lapisan Transportasi (TLS) untuk mengakses gateway kluster dan Internet Protocol Security (IPsec) antara node kluster. IPsec dapat diaktifkan secara opsional antara semua simpul kepala, simpul pekerja, simpul tepi, simpul zookeeper serta node gateway dan broker ID.
Mengaktifkan enkripsi saat transit
Portal Azure
Untuk membuat kluster baru dengan enkripsi aktif saat transit menggunakan portal Microsoft Azure, lakukan langkah-langkah berikut:
Mulai proses pembuatan kluster normal. Lihat Membuat kluster berbasis Linux di HDInsight menggunakan portal Microsoft Azure untuk langkah-langkah pembuatan kluster awal.
Selesaikan tab Dasar dan Penyimpanan. Lanjutkan ke tab Keamanan + Jaringan.
Pada tab Keamanan + Jaringan, pilih kotak centang Aktifkan enkripsi saat transit.
Membuat kluster dengan enkripsi dalam transit yang diaktifkan melalui Azure CLI
Enkripsi saat transit diaktifkan menggunakan properti isEncryptionInTransitEnabled.
Anda dapat mengunduh contoh templat dan file parameter. Sebelum menggunakan templat dan cuplikan kode Azure CLI di bawah ini, ganti placeholder berikut ini dengan nilai yang benar:
| Placeholder | Deskripsi |
|---|---|
<SUBSCRIPTION_ID> |
ID langganan Azure Anda |
<RESOURCE_GROUP> |
Grup sumber daya tempat Anda ingin membuat kluster dan akun penyimpanan baru. |
<STORAGEACCOUNTNAME> |
Akun penyimpanan yang ada yang harus digunakan dengan kluster. Nama harus dalam bentuk ACCOUNTNAME.blob.core.windows.net |
<CLUSTERNAME> |
Nama kluster HDInsight Anda. |
<PASSWORD> |
Kata sandi yang Anda pilih untuk masuk ke kluster menggunakan SSH dan dasbor Ambari. |
<VNET_NAME> |
Jaringan virtual tempat kluster disebarkan. |
Cuplikan kode di bawah ini melakukan langkah-langkah awal berikut:
- Masuk ke akun Azure Anda.
- Atur langganan aktif tempat operasi pembuatan akan dilakukan.
- Buat grup sumber daya baru untuk aktivitas penyebaran baru.
- Sebarkan templat untuk membuat kluster baru.
az login
az account set --subscription <SUBSCRIPTION_ID>
# Create resource group
az group create --name <RESOURCEGROUPNAME> --location eastus2
az deployment group create --name HDInsightEnterpriseSecDeployment \
--resource-group <RESOURCEGROUPNAME> \
--template-file hdinsight-enterprise-security.json \
--parameters parameters.json