Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os nós da Instância Gerenciada do Azure para Apache Cassandra exigem acesso a muitos outros serviços do Azure quando são injetados em sua rede virtual. Normalmente, o acesso é habilitado garantindo que sua rede virtual tenha acesso de saída para a internet. Se a sua política de segurança proibir o acesso de saída, você poderá configurar regras de firewall ou rotas definidas pelo usuário para o acesso apropriado. Para obter mais informações, confira Regras de rede de saída obrigatórias.
Se você tiver preocupações internas com a segurança sobre a exfiltração de dados, sua política de segurança poderá proibir o acesso direto a esses serviços de sua rede virtual. Ao usar uma rede virtual privada (VPN) com a Instância Gerenciada do Azure para Apache Cassandra, você pode se certificar de que os nós de dados na rede virtual se comuniquem apenas com um único ponto de extremidade de VPN, sem nenhum acesso direto a outros serviços.
Como ele funciona
Uma VM (máquina virtual) chamada operador faz parte de cada Instância Gerenciada do Azure para Apache Cassandra e ajuda a gerenciar o cluster. Por padrão, o operador está na mesma rede virtual que o cluster. O operador e as VMs de dados têm as mesmas regras de NSG (grupo de segurança de rede), o que não é ideal por motivos de segurança. Ele também permite impedir que o operador atinja os serviços necessários do Azure ao configurar regras NSG para sua sub-rede.
Usar uma VPN como método de conexão para a Instância Gerenciada do Azure para Apache Cassandra permite que o operador esteja em uma rede virtual diferente do cluster usando o serviço de link privado. O operador está em uma rede virtual que tem acesso aos serviços necessários do Azure e o cluster está em uma rede virtual que você controla.
Com a VPN, o operador agora pode se conectar a um endereço IP privado dentro do intervalo de endereços da rede virtual chamado um ponto de extremidade privado. O link privado roteia os dados entre o operador e o ponto de extremidade privado por meio da rede de backbone do Azure para evitar a exposição à Internet pública.
Benefícios de segurança
Queremos impedir que os invasores acessem a rede virtual em que o operador está implantado e tentando roubar dados. Medidas de segurança estão em vigor para garantir que o operador possa alcançar apenas os serviços necessários do Azure.
- Políticas de ponto de extremidade de serviço: essas políticas oferecem controle granular sobre o tráfego de saída na rede virtual, especialmente de serviços do Azure. Ao utilizar endpoints de serviço, eles estabelecem restrições. As políticas permitem acesso a dados exclusivamente aos serviços especificados do Azure, como o Azure Monitor, o Armazenamento do Azure e o Azure Key Vault. Essas políticas garantem que a saída de dados seja limitada apenas a contas predeterminadas do Armazenamento do Azure, o que aprimora a segurança e o gerenciamento de dados na infraestrutura de rede.
- Grupos de segurança de rede: Esses grupos são usados para filtrar o tráfego de rede de e para os recursos em uma rede virtual do Azure. Todo o tráfego é bloqueado do operador para a Internet. Somente o tráfego para determinados serviços do Azure é permitido por meio de um conjunto de regras NSG.
Usar uma VPN com a Instância Gerenciada do Azure para Apache Cassandra
Crie um cluster da Instância Gerenciada do Azure para Apache Cassandra usando
VPNcomo o valor da opção--azure-connection-method:az managed-cassandra cluster create \ --cluster-name "vpn-test-cluster" \ --resource-group "vpn-test-rg" \ --location "eastus2" \ --azure-connection-method "VPN" \ --initial-cassandra-admin-password "password"Use o comando a seguir para ver as propriedades do cluster:
az managed-cassandra cluster show \ --resource-group "vpn-test-rg" \ --cluster-name "vpn-test-cluster"Na saída, copie o valor da
privateLinkResourceId.No portal do Azure, crie um ponto de extremidade privado seguindo estas etapas:
- Na guia Recurso , selecione Conectar a um recurso do Azure por ID de recurso ou alias como o método de conexão e selecione Microsoft.Network/privateLinkServices como o tipo de recurso. Insira o valor de
privateLinkResourceIdda etapa anterior. - Na guia Rede Virtual, selecione a sub-rede da sua rede virtual e selecione a opção Alocar um endereço IP estaticamente.
- Valide e crie.
Observação
No momento, a conexão entre o nosso serviço de gerenciamento e seu ponto de extremidade privado requer que uma aprovação da equipe da Instância Gerenciada do Azure para Apache Cassandra.
- Na guia Recurso , selecione Conectar a um recurso do Azure por ID de recurso ou alias como o método de conexão e selecione Microsoft.Network/privateLinkServices como o tipo de recurso. Insira o valor de
Obtenha o endereço IP da interface de rede do seu ponto de extremidade privado.
Crie um novo data center usando o endereço IP da etapa anterior como o parâmetro
--private-endpoint-ip-address.
Conteúdo relacionado
- Saiba mais sobre a configuração de cluster híbrido na Instância Gerenciada do Azure para Apache Cassandra.