Compartir vía

Uso de una VPN con Azure Managed Instance for Apache Cassandra

  • Artículo

Los nodos de Azure Managed Instance for Apache Cassandra requieren acceso a muchos otros servicios de Azure cuando se insertan en la red virtual. Normalmente, el acceso está habilitado asegurándose de que la red virtual tiene acceso saliente a Internet. Si la directiva de seguridad prohíbe el acceso saliente, puede configurar reglas de firewall o rutas definidas por el usuario para el acceso adecuado. Para obtener más información, consulte Reglas de red de salida necesarias.

Sin embargo, si presenta problemas de seguridad internos relacionados con la filtración de datos, la directiva de seguridad podría incluso prohibir el acceso directo a estos servicios desde la red virtual. Mediante el uso de una red privada virtual (VPN) con la instancia Azure Managed Instance for Apache Cassandra, puede asegurarse de que los nodos de datos de la red virtual solo se comunican solo con un único punto de conexión de VPN, sin acceso directo a ningún otro servicio.

Funcionamiento

Una máquina virtual denominada operador forma parte de cada Azure Managed Instance for Apache Cassandra. Ayuda a administrar el clúster, de forma predeterminada, el operador está en la misma red virtual que el clúster. Esto significa que el operador y las máquinas virtuales de datos tienen las mismas reglas del grupo de seguridad de red (NSG). Lo que no es ideal por motivos de seguridad y también permite a los clientes evitar que el operador llegue a los servicios de Azure necesarios cuando configuren reglas de NSG para su subred.

El uso de VPN como método de conexión para una Azure Managed Instance for Apache Cassandra permite al operador estar en una red virtual diferente a la del clúster mediante el servicio private link. Lo que significa que el operador puede estar en una red virtual que tenga acceso a los servicios de Azure necesarios y el clúster puede estar en una red virtual que controle.

Captura de pantalla de un diseño de VPN.

Con la VPN, el operador ahora puede conectarse a una dirección IP privada dentro del intervalo de direcciones de la red virtual denominada punto de conexión privado. El vínculo privado enruta los datos entre el operador y el punto de conexión privado a través de la red troncal de Azure, lo que evita la exposición a la red pública de Internet.

Ventajas de seguridad

Queremos impedir que los atacantes accedan a la red virtual donde se implementa el operador y intentan robar datos. Por lo tanto, tenemos medidas de seguridad vigentes para asegurarse de que el operador solo puede llegar a los servicios de Azure necesarios.

  • Directivas de punto de conexión de servicio: Estas directivas ofrecen un control granular sobre el tráfico de salida dentro de la red virtual, especialmente en los servicios de Azure. Mediante el uso de puntos de conexión de servicio, establecen restricciones, lo que permite el acceso a datos exclusivamente a servicios de Azure especificados, como Azure Monitoring, Azure Storage y Azure KeyVault. En particular, estas directivas garantizan que la salida de datos se limita únicamente a las cuentas de Azure Storage predeterminadas, lo que mejora la seguridad y la administración de datos dentro de la infraestructura de red.

  • Grupos de seguridad de red: Estos grupos se usan para filtrar el tráfico de red hacia y desde los recursos de una red virtual de Azure. Se bloquea todo el tráfico del operador a Internet y solo se permite el tráfico a determinados servicios de Azure a través de un conjunto de reglas de NSG.

Procedimiento de uso de una VPN con Azure Managed Instance for Apache Cassandra

  1. Cree un clúster de Azure Managed Instance para Apache Cassandra mediante "VPN" como valor de la opción --azure-connection-method:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Use el siguiente comando para ver las propiedades del clúster:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    En la salida, realice una copia del valor privateLinkResourceId.

  3. En Azure Portal, cree un punto de conexión privado mediante estos detalles:

    1. En la pestaña Recurso, seleccione Conectarse a un recurso de Azure por identificador de recurso o alias como método de conexión y Microsoft.Network/privateLinkServices como tipo de recurso. Escriba el valor privateLinkResourceId del paso anterior.
    2. En la pestaña Red virtual, seleccione la subred de la red virtual y la opción Asignar estáticamente la dirección IP.
    3. Validar y crear.

    Nota:

    En este momento, la conexión entre el servicio de administración y el punto de conexión privado requiere la aprobación del equipo de Azure Managed Instance for Apache Cassandra.

  4. Obtenga la dirección IP de la NIC de la interfaz de red del punto de conexión privado.

  5. Cree un nuevo centro de datos mediante la dirección IP del paso anterior como parámetro --private-endpoint-ip-address.

Pasos siguientes