Azure Managed Instance for Apache Cassandra で VPN を使用する

Azure Managed Instance for Apache Cassandra ノードでは、仮想ネットワークへの挿入時に他の多くの Azure サービスにアクセスする必要があります。 通常、アクセスは、仮想ネットワークがインターネットへのアウトバウンド アクセス権を持っていることを確認することで有効になります。 セキュリティ ポリシーでアウトバウンド アクセスが禁止されている場合は、適切なアクセス用にファイアウォール規則またはユーザー定義ルートを構成できます。 詳細については、「必要なアウトバウンド ネットワーク規則」を参照してください。

ただし、データ流出に関する内部セキュリティの懸念がある場合は、セキュリティ ポリシーによって、仮想ネットワークからこれらのサービスへの直接アクセスは禁止されることがあります。 Azure Managed Instance for Apache Cassandra で仮想プライベート ネットワーク (VPN) を使用すると、仮想ネットワーク内のデータ ノードが 1 つの VPN エンドポイントのみと通信し、他のサービスに直接アクセスできないようにすることができます。

しくみ

オペレーターと呼ばれる仮想マシンは、Azure Managed Instance for Apache Cassandra の一部です。 既定では、オペレーターはクラスターと同じ仮想ネットワークにあります。 つまり、オペレーター VM とデータ VM は同じネットワーク セキュリティ グループ (NSG) ルールを持つということです。 これは、セキュリティ上の理由では理想的ではありませんが、サブネットに NSG ルールを設定する場合に、オペレーターが必要な Azure サービスに到達できないようにすることもできます。

Azure Managed Instance for Apache Cassandra の接続方法として VPN を使用することで、プライベート リンク サービスを使用することで、クラスターとは異なる仮想ネットワークにオペレーターを配置できます。 つまり、必要な Azure サービスにアクセスできる仮想ネットワークにオペレーターを配置し、制御下にある仮想ネットワークにクラスターを配置することができることを意味します。

VPN を使用すると、オペレーターはプライベート エンドポイントと呼ばれる仮想ネットワークのアドレス範囲内のプライベート IP アドレスに接続できるようになります。 プライベート リンクは、オペレーターとプライベート エンドポイントの間のデータを Azure のバックボーン ネットワーク経由でルーティングし、パブリック インターネットへの露出を防止します。

セキュリティの利点

オペレーターが配置されている仮想ネットワークに攻撃者がアクセスし、データを盗もうとするのを防止する必要があります。 そのため、オペレーターが必要な Azure サービスにのみ到達できるようにするためのセキュリティ対策を行っています。

• サービス エンドポイント ポリシー: これらのポリシーは、仮想ネットワーク内、特に Azure サービスへのエグレス トラフィックをきめ細かく制御します。 サービス エンドポイントを使用することで、Azure Monitoring、Azure Storage、Azure KeyVault などの特定の Azure サービスのみにデータ アクセスを許可する制限を確立します。 特に、これらのポリシーによって、データ エグレスが所定の Azure Storage アカウントのみに制限され、ネットワーク インフラストラクチャ内のセキュリティとデータ管理が強化されます。

• ネットワーク セキュリティ グループ: これらのグループは、Azure 仮想ネットワーク内のリソースとの間のネットワーク トラフィックをフィルター処理するために使用されます。 オペレーターからインターネットへのトラフィックはすべてブロックし、NSG ルールによって特定の Azure サービスへのトラフィックのみ許可されます。

Azure Managed Instance for Apache Cassandra で VPN を使用する方法

1. --azure-connection-method オプションの値として "VPN" を使用して、Azure Managed Instance for Apache Cassandra クラスターを作成します:

   az managed-cassandra cluster create \
   --cluster-name "vpn-test-cluster" \
   --resource-group "vpn-test-rg" \
   --location "eastus2" \
   --azure-connection-method "VPN" \
   --initial-cassandra-admin-password "password"
   

2. クラスターのプロパティを確認するには、次のコマンドを使用します:

   az managed-cassandra cluster show \
   --resource-group "vpn-test-rg" \
   --cluster-name "vpn-test-cluster"
   

   出力から、privateLinkResourceId 値のコピーを作成します。

3. Azure portal で、次の詳細を使用してプライベート エンドポイントを作成します:

   1. [リソース] タブで、接続方法として [リソース ID またはエイリアスで Azure リソースに接続する] を選択し、リソースの種類として [ Microsoft.Network/privateLinkServices] を選択します。 前の手順の privateLinkResourceId 値を入力します。
   2. [仮想ネットワーク] タブで、仮想ネットワークのサブネットを選択し、[IP アドレスを静的に割り当てる] オプションを選択します。
   3. 検証および作成します。

   Note

   現時点では、管理サービスとプライベート エンドポイントの間の接続には、Azure Managed Instance for Apache Cassandra チームによる承認が必要です。

4. プライベート エンドポイントのネットワーク インターフェイスの IP アドレスを取得します。

5. 前の手順の IP アドレスを --private-endpoint-ip-address パラメーターとして使用して、新しいデータセンターを作成します。

次のステップ

• Azure Managed Instance for Apache Cassandra でのハイブリッド クラスター構成について確認します。