Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Managed Instance für Apache Cassandra-Knoten erfordern Zugriff auf viele andere Azure-Dienste, wenn sie in Ihr virtuelles Netzwerk eingefügt werden. Normalerweise wird dieser Zugriff aktiviert, indem Sie sicherstellen, dass Ihr virtuelles Netzwerk über ausgehenden Zugriff auf das Internet verfügt. Wenn Ihre Sicherheitsrichtlinie den ausgehenden Zugriff verbietet, können Sie Firewallregeln oder benutzerdefinierte Routen für den entsprechenden Zugriff konfigurieren. Weitere Informationen finden Sie unter Erforderliche ausgehende Netzwerkregeln.
Wenn Sie interne Sicherheitsbedenken hinsichtlich der Datenexfiltration haben, verbietet Ihre Sicherheitsrichtlinie möglicherweise den direkten Zugriff auf diese Dienste aus Ihrem virtuellen Netzwerk. Mithilfe eines virtuellen privaten Netzwerks (VPN) mit Azure Managed Instance for Apache Cassandra können Sie sicherstellen, dass Datenknoten im virtuellen Netzwerk nur mit einem einzelnen VPN-Endpunkt kommunizieren, ohne Direktzugriff auf andere Dienste.
Funktionsweise
Ein virtueller Computer (VM), der als Operator bezeichnet wird, ist Teil jeder azure Managed Instance für Apache Cassandra und hilft beim Verwalten des Clusters. Standardmäßig befindet sich der Operator im selben virtuellen Netzwerk wie der Cluster. Die Operator- und Daten-VMs weisen die gleichen NSG-Regeln (Network Security Group) auf, die aus Sicherheitsgründen nicht ideal sind. Außerdem können Sie verhindern, dass der Betreiber die erforderlichen Azure-Dienste erreicht, wenn Sie NSG-Regeln für Ihr Subnetz einrichten.
Wenn Sie ein VPN als Verbindungsmethode für Azure Managed Instance für Apache Cassandra verwenden, kann sich der Operator in einem anderen virtuellen Netzwerk als im Cluster befinden, indem er den privaten Linkdienst verwendet. Der Betreiber befindet sich in einem virtuellen Netzwerk, das Zugriff auf die erforderlichen Azure-Dienste hat, und der Cluster befindet sich in einem virtuellen Netzwerk, das Sie steuern.
Mit dem VPN kann der Operator jetzt eine Verbindung mit einer privaten IP-Adresse innerhalb des Adressbereichs Ihres virtuellen Netzwerks herstellen, das als privater Endpunkt bezeichnet wird. Die private Verbindung leitet die Daten zwischen dem Betreiber und dem privaten Endpunkt über das Azure-Backbone-Netzwerk weiter, um die Gefährdung des öffentlichen Internets zu vermeiden.
Sicherheitsvorteile
Wir möchten verhindern, dass Angreifer auf das virtuelle Netzwerk zugreifen, in dem der Betreiber bereitgestellt wird, und versuchen, Daten zu stehlen. Sicherheitsmaßnahmen sind vorhanden, um sicherzustellen, dass der Betreiber nur die erforderlichen Azure-Dienste erreichen kann.
- Richtlinien für Dienstendpunkte: Diese Richtlinien bieten eine präzise Kontrolle über den Ausgehenden Datenverkehr innerhalb des virtuellen Netzwerks, insbesondere an Azure-Dienste. Durch die Verwendung von Dienstendpunkten legen sie Einschränkungen fest. Richtlinien ermöglichen den Datenzugriff ausschließlich auf bestimmte Azure-Dienste wie Azure Monitor, Azure Storage und Azure Key Vault. Diese Richtlinien stellen sicher, dass der Datenausgang ausschließlich auf vordefinierte Azure Storage-Konten beschränkt ist, wodurch die Sicherheit und datenverwaltung innerhalb der Netzwerkinfrastruktur verbessert wird.
- Netzwerksicherheitsgruppen: Diese Gruppen werden verwendet, um Netzwerkdatenverkehr zu und aus den Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Der gesamte Datenverkehr wird vom Betreiber zum Internet blockiert. Nur Datenverkehr zu bestimmten Azure-Diensten ist über eine Reihe von NSG-Regeln zulässig.
Verwenden eines VPN mit Azure Managed Instance for Apache Cassandra
Erstellen Sie einen Azure Managed Instance for Apache Cassandra-Cluster, indem Sie
VPNals den Wert für die--azure-connection-method-Option verwenden:az managed-cassandra cluster create \ --cluster-name "vpn-test-cluster" \ --resource-group "vpn-test-rg" \ --location "eastus2" \ --azure-connection-method "VPN" \ --initial-cassandra-admin-password "password"Verwenden Sie den folgenden Befehl, um die Clustereigenschaften anzuzeigen:
az managed-cassandra cluster show \ --resource-group "vpn-test-rg" \ --cluster-name "vpn-test-cluster"Erstellen Sie aus der Ausgabe eine Kopie des
privateLinkResourceId-Wertes.Erstellen Sie im Azure-Portal einen privaten Endpunkt , indem Sie die folgenden Schritte ausführen:
- Wählen Sie auf der Registerkarte " Ressource " die Option "Mit einer Azure-Ressource verbinden" nach Ressourcen-ID oder Alias als Verbindungsmethode aus, und wählen Sie "Microsoft.Network/privateLinkServices " als Ressourcentyp aus. Geben Sie den
privateLinkResourceId-Wert aus dem vorherigen Schritt ein. - Wählen Sie auf der Registerkarte Virtual Network das Subnetz Ihres virtuellen Netzwerks aus, und stellen Sie sicher, dass Sie die Option für IP-Adresse statisch zuordnen auswählen.
- Überprüfen Sie alles und erstellen Sie den Endpunkt.
Hinweis
Zurzeit erfordert die Verbindung zwischen unserem Verwaltungsdienst und Ihrem privaten Endpunkt die Genehmigung durch das Azure Managed Instance for Apache Cassandra-Team.
- Wählen Sie auf der Registerkarte " Ressource " die Option "Mit einer Azure-Ressource verbinden" nach Ressourcen-ID oder Alias als Verbindungsmethode aus, und wählen Sie "Microsoft.Network/privateLinkServices " als Ressourcentyp aus. Geben Sie den
Rufen Sie die IP-Adresse der Netzwerkschnittstelle Ihres privaten Endpunkts ab.
Erstellen Sie ein neues Rechenzentrum, indem Sie die IP-Adresse aus dem vorherigen Schritt als
--private-endpoint-ip-address-Parameter verwenden.
Verwandte Inhalte
- Erfahren Sie mehr zu Hybridclusterkonfiguration mit Azure Managed Instance for Apache Cassandra.