Utiliser un VPN avec Azure Managed Instance pour Apache Cassandra
Les nœuds Azure Managed Instance pour Apache Cassandra nécessitent l’accès à de nombreux autres services Azure lorsqu’ils sont injectés dans votre réseau virtuel. Normalement, l’accès est activé en veillant à ce que votre réseau virtuel dispose d’un accès sortant à Internet. Si votre stratégie de sécurité interdit l’accès sortant, vous pouvez configurer des règles de pare-feu ou des routes définies par l’utilisateur pour l’accès approprié. Pour plus d’informations, consultez Règles de trafic réseau sortant requises.
Toutefois, si vous avez des problèmes de sécurité internes à propos de l’exfiltration de données, votre stratégie de sécurité risque d’interdire l’accès direct à ces services à partir de votre réseau virtuel. En utilisant un réseau privé virtuel (VPN) avec Azure Managed Instance pour Apache Cassandra, vous pouvez vous assurer que les nœuds de données dans le réseau virtuel communiquent uniquement avec un point de terminaison VPN sécurisé, sans aucun accès direct à aucun autre service.
Fonctionnement
Une machine virtuelle appelée l’opérateur fait partie de chaque Azure Managed Instance pour Apache Cassandra. Il permet de gérer le cluster, par défaut, l’opérateur se trouve dans le même réseau virtuel que le cluster. Cela signifie que l’opérateur et les machines virtuelles de données ont les mêmes règles de groupe de sécurité réseau (NSG). Ce qui n’est pas idéal pour des raisons de sécurité, et permet également aux clients d’empêcher l’opérateur d’atteindre les services Azure nécessaires lorsqu’ils configurent des règles de groupe de sécurité réseau pour leur sous-réseau.
L’utilisation d’un VPN comme méthode de connexion pour Azure Managed Instance pour Apache Cassandra permet à l’opérateur d’être dans un réseau virtuel différent du cluster à l’aide du service de liaison privée. Cela signifie que l’opérateur peut se trouver dans un réseau virtuel qui a accès aux services Azure nécessaires et que le cluster peut se trouver dans un réseau virtuel que vous contrôlez.
Avec le VPN, l’opérateur peut désormais se connecter à une adresse IP privée à l’intérieur de la plage d’adresses de votre réseau virtuel appelé point de terminaison privé. La liaison privée route les données entre l’opérateur et le point de terminaison privé via le réseau principal Azure, ce qui évite l’exposition à l’Internet public.
Avantages de sécurité
Nous voulons empêcher les attaquants d’accéder au réseau virtuel où l’opérateur est déployé et d’essayer de voler des données. Par conséquent, nous avons des mesures de sécurité en place pour vous assurer que l’opérateur ne peut atteindre que les services Azure nécessaires.
Stratégies de point de terminaison de service : ces stratégies offrent un contrôle granulaire sur le trafic de sortie au sein du réseau virtuel, en particulier vers les services Azure. En utilisant des points de terminaison de service, ils établissent des restrictions, autorisant l’accès aux données exclusivement aux services Azure spécifiés tels qu’Azure Monitoring, Stockage Azure et Azure KeyVault. Notamment, ces stratégies garantissent que la sortie des données est limitée uniquement aux comptes de stockage Azure prédéterminés, ce qui améliore la sécurité et la gestion des données au sein de l’infrastructure réseau.
Groupes de sécurité réseau : ces groupes sont utilisés pour filtrer le trafic réseau vers et depuis les ressources d’un réseau virtuel Azure. Nous bloquent tout le trafic de l’opérateur vers Internet et autorisent uniquement le trafic vers certains services Azure via un ensemble de règles de groupe de sécurité réseau.
Comment utiliser un VPN avec Azure Managed Instance pour Apache Cassandra
Créer un cluster Azure Managed Instance pour Apache Cassandra en utilisant
"VPN"comme la valeur pour l’option--azure-connection-method:az managed-cassandra cluster create \ --cluster-name "vpn-test-cluster" \ --resource-group "vpn-test-rg" \ --location "eastus2" \ --azure-connection-method "VPN" \ --initial-cassandra-admin-password "password"Utilisez la commande suivante pour voir les propriétés du cluster :
az managed-cassandra cluster show \ --resource-group "vpn-test-rg" \ --cluster-name "vpn-test-cluster"À partir de la sortie, copiez la valeur
privateLinkResourceId.Dans le Portail Microsoft Azure, créez un point de terminaison privé en utilisant ces détails :
- Sous l’onglet Ressource, sélectionnez Connectez-vous à une ressource Azure par son alias ou identifiant de ressource comme méthode de connexion et Microsoft.Network/privateLinkServices comme type de ressource. Entrez la valeur
privateLinkResourceIdde l’étape précédente. - Sous l’onglet Réseau virtuel, sélectionnez le sous-réseau de votre réseau virtuel et sélectionnez l’option Allouer statiquement l’adresse IP.
- Validez et créez.
Remarque
Pour le moment, la connexion entre le service de gestion et votre point de terminaison privé a besoin de l’approbation de l’équipe Azure Managed Instance pour Apache Cassandra.
- Sous l’onglet Ressource, sélectionnez Connectez-vous à une ressource Azure par son alias ou identifiant de ressource comme méthode de connexion et Microsoft.Network/privateLinkServices comme type de ressource. Entrez la valeur
Obtenez l’adresse IP de l’interface réseau de votre point de terminaison privé.
Créez un nouveau centre de données en utilisant l’adresse IP de l’étape précédente comme paramètre
--private-endpoint-ip-address.
Étapes suivantes
- Découvrez la configuration d’un cluster hybride dans Azure Managed Instance pour Apache Cassandra.