Megosztás a következőn keresztül:

VPN használata az Apache Cassandra Felügyelt Azure-példányával

  • Cikk

Az Apache Cassandra-csomópontokhoz készült Azure Managed Instance számos más Azure-szolgáltatáshoz való hozzáférést igényel, amikor azokat a virtuális hálózatba injektálják. A hozzáférés általában úgy van engedélyezve, hogy a virtuális hálózat kimenő internet-hozzáféréssel rendelkezik. Ha a biztonsági szabályzat tiltja a kimenő hozzáférést, a megfelelő hozzáféréshez tűzfalszabályokat vagy felhasználó által megadott útvonalakat konfigurálhat. További információ: Kötelező kimenő hálózati szabályok.

Ha azonban belső biztonsági aggályai vannak az adatszivárgással kapcsolatban, a biztonsági szabályzata megtilthatja ezeknek a szolgáltatásoknak a közvetlen elérését a virtuális hálózatról. Ha virtuális magánhálózatot (VPN) használ az Apache Cassandra azure-beli felügyelt példányával, biztosíthatja, hogy a virtuális hálózat adatcsomópontjai csak egyetlen VPN-végponttal kommunikáljanak, és ne legyenek közvetlen hozzáférése más szolgáltatásokhoz.

Hogyan működik?

Az operátornak nevezett virtuális gép az Apache Cassandra minden azure-beli felügyelt példányának része. Ez segít a fürt kezelésében, alapértelmezés szerint az operátor ugyanabban a virtuális hálózatban van, mint a fürt. Ez azt jelenti, hogy az operátor és az adat virtuális gépek ugyanazokkal a hálózati biztonsági csoportokkal (NSG) rendelkeznek. Ez biztonsági okokból nem ideális, és lehetővé teszi az ügyfelek számára, hogy megakadályozzák az üzemeltető számára a szükséges Azure-szolgáltatások elérését, amikor NSG-szabályokat állít be az alhálózathoz.

Ha VPN-t használ kapcsolati módszerként az Apache Cassandra azure-beli felügyelt példányához, az operátor a privát kapcsolati szolgáltatás használatával a fürthöz képest más virtuális hálózatban lehet. Ez azt jelenti, hogy az operátor olyan virtuális hálózatban lehet, amely hozzáfér a szükséges Azure-szolgáltatásokhoz, és a fürt egy ön által vezérelhető virtuális hálózaton is lehet.

Képernyőkép egy VPN-tervről.

A VPN-vel az operátor most már csatlakozhat egy privát IP-címhez a virtuális hálózat címtartományán belül, amelyet privát végpontnak neveznek. A privát kapcsolat átirányítja az adatokat az operátor és a privát végpont között az Azure gerinchálózatán keresztül, elkerülve a nyilvános internetnek való kitettséget.

Biztonsági előnyök

Meg szeretnénk akadályozni, hogy a támadók hozzáférjenek ahhoz a virtuális hálózathoz, ahol az operátor telepítve van, és adatokat próbálnak ellopni. Ezért biztonsági intézkedésekkel biztosítjuk, hogy az Operátor csak a szükséges Azure-szolgáltatásokat érhesse el.

  • Szolgáltatásvégpont-szabályzatok: Ezek a szabályzatok részletes vezérlést biztosítanak a virtuális hálózaton belüli kimenő forgalom felett, különösen az Azure-szolgáltatások számára. A szolgáltatásvégpontok használatával korlátozásokat hoznak létre, amelyek kizárólag meghatározott Azure-szolgáltatásokhoz, például az Azure Monitoringhoz, az Azure Storage-hoz és az Azure KeyVaulthoz engedélyezik az adathozzáférést. Ezek a szabályzatok biztosítják, hogy az adatforgalom kizárólag az előre meghatározott Azure Storage-fiókokra korlátozódjon, ezáltal növelve a hálózati infrastruktúrán belüli biztonságot és adatkezelést.

  • Hálózati biztonsági csoportok: Ezek a csoportok az Azure-beli virtuális hálózatok erőforrásaiba érkező és onnan érkező hálózati forgalom szűrésére szolgálnak. Letiltjuk az operátortól az internet felé irányuló összes forgalmat, és csak bizonyos Azure-szolgáltatások felé irányuló forgalmat engedélyezünk NSG-szabályokon keresztül.

VPN használata az Apache Cassandra felügyelt Azure-példányával

  1. Hozzon létre egy Felügyelt Azure-példányt az Apache Cassandra-fürthöz a --azure-connection-method beállítás értékeként használva"VPN":

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. A fürt tulajdonságainak megtekintéséhez használja a következő parancsot:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    A kimenetből készítsen másolatot az privateLinkResourceId értékről.

  3. Az Azure Portalon hozzon létre egy privát végpontot az alábbi részletekkel:

    1. Az Erőforrás lapon válassza az Azure-erőforráshoz való csatlakozást erőforrás-azonosító vagy alias alapján a kapcsolati módszerként, erőforrástípusként pedig a Microsoft.Network/privateLinkServices lehetőséget. Adja meg az privateLinkResourceId előző lépés értékét.
    2. A Virtuális hálózat lapon válassza ki a virtuális hálózat alhálózatát, és válassza a Statikusan lefoglalható IP-cím lehetőséget.
    3. Ellenőrzés és létrehozás.

    Feljegyzés

    Jelenleg a felügyeleti szolgáltatás és a privát végpont közötti kapcsolathoz az Apache Cassandra azure-beli felügyelt példányának jóváhagyása szükséges.

  4. Kérje le a privát végpont hálózati adapterének IP-címét.

  5. Hozzon létre egy új adatközpontot az előző lépésben megadott IP-cím paraméterként --private-endpoint-ip-address való használatával.

Következő lépések

  • Ismerje meg a hibrid fürtkonfigurációt az Apache Cassandra azure-beli felügyelt példányában.