استخدام VPN مع مثيل Azure المدار ل Apache Cassandra

يتطلب مثيل Azure المدار لعقد Apache Cassandra الوصول إلى العديد من خدمات Azure الأخرى عند إدخالها في شبكتك الظاهرية. عادة، يتم تمكين الوصول عن طريق التأكد من أن شبكتك الظاهرية لديها وصول صادر إلى الإنترنت. إذا كان نهج الأمان الخاص بك يحظر الوصول الصادر، يمكنك تكوين قواعد جدار الحماية أو التوجيهات المعرفة من قبل المستخدم للوصول المناسب. لمزيد من المعلومات، راجع قواعد الشبكة الصادرة المطلوبة.

إذا كانت لديك مخاوف أمنية داخلية بشأن النقل غير المصرح للبيانات، فقد يحظر نهج الأمان الوصول المباشر إلى هذه الخدمات من شبكتك الظاهرية. باستخدام شبكة ظاهرية خاصة (VPN) مع Azure Managed Instance ل Apache Cassandra، يمكنك التأكد من أن عقد البيانات في الشبكة الظاهرية تتواصل مع نقطة نهاية VPN واحدة فقط، دون وصول مباشر إلى أي خدمات أخرى.

طريقة العمل

الجهاز الظاهري (VM) يسمى عامل التشغيل هو جزء من كل مثيل مدار من Azure ل Apache Cassandra، ويساعد على إدارة نظام المجموعة. بشكل افتراضي، يكون عامل التشغيل في نفس الشبكة الظاهرية مثل نظام المجموعة. تحتوي الأجهزة الظاهرية للمشغل والبيانات على نفس قواعد مجموعة أمان الشبكة (NSG)، وهي ليست مثالية لأسباب أمنية. كما يتيح لك منع عامل التشغيل من الوصول إلى خدمات Azure الضرورية عند إعداد قواعد NSG لشبكتك الفرعية.

يتيح استخدام VPN كطريقة اتصال ل Azure Managed Instance ل Apache Cassandra للمشغل أن يكون في شبكة ظاهرية مختلفة عن نظام المجموعة باستخدام خدمة الارتباط الخاص. عامل التشغيل موجود في شبكة ظاهرية لديها حق الوصول إلى خدمات Azure الضرورية، والكتلة في شبكة ظاهرية تتحكم فيها.

باستخدام VPN، يمكن للمشغل الآن الاتصال بعنوان IP خاص داخل نطاق عناوين شبكتك الظاهرية يسمى نقطة نهاية خاصة. يوجه الارتباط الخاص البيانات بين المشغل ونقطة النهاية الخاصة من خلال شبكة Azure الأساسية لتجنب التعرض للإنترنت العام.

المزايا الأمنية

نريد منع المهاجمين من الوصول إلى الشبكة الظاهرية حيث يتم نشر عامل التشغيل ومحاولة سرقة البيانات. توجد إجراءات أمان للتأكد من أن المشغل يمكنه الوصول إلى خدمات Azure الضرورية فقط.

• نهج نقطة نهاية الخدمة: توفر هذه النهج تحكما دقيقا في حركة الخروج داخل الشبكة الظاهرية، خاصة لخدمات Azure. باستخدام نقاط نهاية الخدمة، فإنها تنشئ قيود. تسمح النهج بالوصول إلى البيانات حصريا إلى خدمات Azure المحددة مثل Azure Monitor وAzure Storage وAzure Key Vault. تضمن هذه النهج أن خروج البيانات يقتصر فقط على حسابات Azure Storage المحددة مسبقا، ما يعزز الأمان وإدارة البيانات داخل البنية الأساسية للشبكة.
• مجموعات أمان الشبكة: يتم استخدام هذه المجموعات لتصفية حركة مرور الشبكة من وإلى الموارد في شبكة Azure الظاهرية. يتم حظر جميع حركة المرور من المشغل إلى الإنترنت. يسمح فقط بنسبة استخدام الشبكة إلى خدمات Azure معينة من خلال مجموعة من قواعد NSG.

استخدام VPN مع مثيل Azure المدار ل Apache Cassandra

1. إنشاء مثيل مدار من Azure لمجموعة Apache Cassandra باستخدام VPN كقيمة --azure-connection-method للخيار:

   az managed-cassandra cluster create \
   --cluster-name "vpn-test-cluster" \
   --resource-group "vpn-test-rg" \
   --location "eastus2" \
   --azure-connection-method "VPN" \
   --initial-cassandra-admin-password "password"
   

2. استخدم الأمر التالي لمشاهدة خصائص نظام المجموعة:

   az managed-cassandra cluster show \
   --resource-group "vpn-test-rg" \
   --cluster-name "vpn-test-cluster"
   

   من الإخراج، قم بعمل نسخة من privateLinkResourceId القيمة.

3. في مدخل Microsoft Azure، أنشئ نقطة نهاية خاصة باتباع الخطوات التالية:

   1. في علامة التبويب Resource ، حدد Connect to an Azure resource by resource ID أو alias as the connection method وحدد Microsoft.Network/privateLinkServices كنوع المورد. privateLinkResourceId أدخل القيمة من الخطوة السابقة.
   2. في علامة التبويب الشبكة الظاهرية، حدد الشبكة الفرعية للشبكة الظاهرية، وحدد خيار تخصيص عنوان IP بشكل ثابت.
   3. التحقق من الصحة والإنشاء.

   إشعار

   في الوقت الحالي، يتطلب الاتصال بين خدمة الإدارة ونقطة النهاية الخاصة بك موافقة من Azure Managed Instance لفريق Apache Cassandra.

4. احصل على عنوان IP لواجهة شبكة نقطة النهاية الخاصة.

5. إنشاء مركز بيانات جديد باستخدام عنوان IP من الخطوة السابقة كمعلمة --private-endpoint-ip-address .

المحتويات ذات الصلة

• تعرف على تكوين نظام المجموعة المختلط في Azure Managed Instance ل Apache Cassandra.