Usar uma VPN com a Instância Gerenciada do Azure para Apache Cassandra

  • Artigo

A Instância Gerenciada do Azure para nós Apache Cassandra requer acesso a muitos outros serviços do Azure quando eles são injetados em sua rede virtual. Normalmente, o acesso é ativado garantindo que sua rede virtual tenha acesso de saída à Internet. Se a sua política de segurança proibir o acesso de saída, pode configurar regras de firewall ou rotas definidas pelo utilizador para o acesso adequado. Para obter mais informações, consulte Regras de rede de saída necessárias.

No entanto, se você tiver preocupações internas de segurança sobre a exfiltração de dados, sua política de segurança pode proibir o acesso direto a esses serviços a partir de sua rede virtual. Usando uma rede virtual privada (VPN) com a Instância Gerenciada do Azure para Apache Cassandra, você pode garantir que os nós de dados na rede virtual se comuniquem com apenas um único ponto de extremidade VPN, sem acesso direto a nenhum outro serviço.

Como funciona

Uma máquina virtual chamada operador faz parte de cada Instância Gerenciada do Azure para Apache Cassandra. Ele ajuda a gerenciar o cluster, por padrão, o operador está na mesma rede virtual que o cluster. O que significa que o operador e as VMs de dados têm as mesmas regras do NSG (Network Security Group). O que não é ideal por motivos de segurança e também permite que os clientes impeçam o operador de acessar os serviços necessários do Azure quando configuram regras NSG para sua sub-rede.

Usar VPN como seu método de conexão para uma Instância Gerenciada do Azure para Apache Cassandra permite que o operador esteja em uma rede virtual diferente do cluster usando o serviço de link privado. O que significa que o operador pode estar em uma rede virtual que tem acesso aos serviços necessários do Azure e o cluster pode estar em uma rede virtual que você controla.

Captura de tela de um design vpn.

Com a VPN, o operador pode agora ligar-se a um endereço IP privado dentro do intervalo de endereços da sua rede virtual chamado ponto de extremidade privado. O link privado roteia os dados entre o operador e o ponto de extremidade privado por meio da rede de backbone do Azure, evitando a exposição à Internet pública.

Benefícios de segurança

Queremos impedir que invasores acessem a rede virtual onde o operador está implantado e tentem roubar dados. Portanto, temos medidas de segurança em vigor para garantir que o Operador só possa acessar os serviços necessários do Azure.

  • Políticas de ponto de extremidade de serviço: essas políticas oferecem controle granular sobre o tráfego de saída na rede virtual, particularmente para os serviços do Azure. Ao usar pontos de extremidade de serviço, eles estabelecem restrições, permitindo o acesso a dados exclusivamente a serviços especificados do Azure, como o Monitoramento do Azure, o Armazenamento do Azure e o Azure KeyVault. Notavelmente, essas políticas garantem que a saída de dados seja limitada apenas a contas de Armazenamento do Azure predeterminadas, aprimorando a segurança e o gerenciamento de dados na infraestrutura de rede.

  • Grupos de Segurança de Rede: esses grupos são usados para filtrar o tráfego de rede de e para os recursos em uma rede virtual do Azure. Bloqueamos todo o tráfego do Operador para a Internet e só permitimos tráfego para determinados serviços do Azure através de um conjunto de regras NSG.

Como usar uma VPN com a Instância Gerenciada do Azure para Apache Cassandra

  1. Crie uma Instância Gerenciada do Azure para cluster Apache Cassandra usando "VPN" como valor para a --azure-connection-method opção:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Use o seguinte comando para ver as propriedades do cluster:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    A partir da saída, faça uma cópia do privateLinkResourceId valor.

  3. No portal do Azure, crie um ponto de extremidade privado usando estes detalhes:

    1. Na guia Recurso, selecione Conectar a um recurso do Azure por ID de recurso ou alias como o método de conexão e Microsoft.Network/privateLinkServices como o tipo de recurso. Insira o privateLinkResourceId valor da etapa anterior.
    2. Na guia Rede Virtual, selecione a sub-rede da rede virtual e selecione a opção Alocar endereço IP estaticamente.
    3. Valide e crie.

    Nota

    No momento, a conexão entre o serviço de gerenciamento e seu ponto de extremidade privado requer aprovação da Instância Gerenciada do Azure para a equipe Apache Cassandra.

  4. Obtenha o endereço IP da interface de rede do seu ponto de extremidade privado.

  5. Crie um novo datacenter usando o endereço IP da etapa anterior como --private-endpoint-ip-address parâmetro.

Próximos passos

  • Saiba mais sobre a configuração de cluster híbrido na Instância Gerenciada do Azure para Apache Cassandra.