Бөлісу құралы:

Использование VPN с azure Управляемый экземпляр для Apache Cassandra

  • Мақала

Для узлов Apache Cassandra azure Управляемый экземпляр требуется доступ ко многим другим службам Azure при внедрении в виртуальную сеть. Как правило, доступ включен, гарантируя, что у виртуальной сети есть исходящий доступ к Интернету. Если политика безопасности запрещает исходящий доступ, можно настроить правила брандмауэра или определяемые пользователем маршруты для соответствующего доступа. Дополнительные сведения см. в разделе "Обязательные правила исходящей сети".

Однако если у вас возникли внутренние проблемы с безопасностью о краже данных, политика безопасности может запретить прямой доступ к этим службам из виртуальной сети. С помощью виртуальной частной сети (VPN) с Azure Управляемый экземпляр для Apache Cassandra можно убедиться, что узлы данных в виртуальной сети взаимодействуют только с одной конечной точкой VPN без прямого доступа к любым другим службам.

Принцип работы

Виртуальная машина, называемая оператором, является частью каждой Управляемый экземпляр Azure для Apache Cassandra. Он помогает управлять кластером по умолчанию, оператор находится в той же виртуальной сети, что и кластер. Это означает, что оператор и виртуальные машины данных имеют одинаковые правила группы безопасности сети (NSG). Это не идеально подходит для соображений безопасности, и он также позволяет клиентам запретить оператору достичь необходимых служб Azure при настройке правил NSG для их подсети.

Использование VPN в качестве метода подключения для Azure Управляемый экземпляр для Apache Cassandra позволяет оператору находиться в другой виртуальной сети, отличной от кластера с помощью службы приватного канала. Это означает, что оператор может находиться в виртуальной сети, которая имеет доступ к необходимым службам Azure и кластеру может находиться в управляемой виртуальной сети.

Снимок экрана: дизайн VPN.

С помощью VPN оператор теперь может подключиться к частному IP-адресу в диапазоне адресов виртуальной сети, называемой частной конечной точкой. Приватный канал направляет данные между оператором и частной конечной точкой через магистральную сеть Azure, избегая воздействия на общедоступный Интернет.

Преимущества безопасности

Мы хотим запретить злоумышленникам доступ к виртуальной сети, в которой развернут оператор и пытаться украсть данные. Таким образом, у нас есть меры безопасности, чтобы убедиться, что оператор может достичь только необходимых служб Azure.

  • Политики конечных точек службы. Эти политики обеспечивают детальный контроль над исходящим трафиком в виртуальной сети, особенно в службы Azure. С помощью конечных точек служб они устанавливают ограничения, разрешая доступ к данным исключительно к указанным службам Azure, таким как Мониторинг Azure, служба хранилища Azure и Azure KeyVault. В частности, эти политики гарантируют, что исходящие данные ограничены только предопределенными служба хранилища Azure учетными записями, повышая безопасность и управление данными в сетевой инфраструктуре.

  • Группы безопасности сети. Эти группы используются для фильтрации сетевого трафика в ресурсы в виртуальной сети Azure и от них. Мы блокируем весь трафик от оператора к Интернету и разрешаем трафик только определенным службам Azure с помощью набора правил NSG.

Использование VPN с Azure Управляемый экземпляр для Apache Cassandra

  1. Создайте кластер Azure Управляемый экземпляр для Кластера Apache Cassandra, используя "VPN" в качестве значения для --azure-connection-method параметра:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Чтобы просмотреть свойства кластера, используйте следующую команду:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Из выходных данных создайте копию privateLinkResourceId значения.

  3. В портал Azure создайте частную конечную точку с помощью следующих сведений:

    1. На вкладке "Ресурс " выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму " в качестве метода подключения и Microsoft.Network/privateLinkServices в качестве типа ресурса. privateLinkResourceId Введите значение из предыдущего шага.
    2. На вкладке виртуальная сеть выберите подсеть виртуальной сети и выберите параметр статического выделения IP-адреса.
    3. Проверка и создание.

    Примечание.

    На данный момент подключение между службой управления и частной конечной точкой требует утверждения от команды Azure Управляемый экземпляр для команды Apache Cassandra.

  4. Получите IP-адрес сетевого интерфейса частной конечной точки.

  5. Создайте новый центр обработки данных с помощью IP-адреса из предыдущего шага в качестве --private-endpoint-ip-address параметра.

Следующие шаги

  • Сведения о конфигурации гибридного кластера в Azure Управляемый экземпляр для Apache Cassandra.