Использование VPN с azure Управляемый экземпляр для Apache Cassandra
Для узлов Apache Cassandra azure Управляемый экземпляр требуется доступ ко многим другим службам Azure при внедрении в виртуальную сеть. Как правило, доступ включен, гарантируя, что у виртуальной сети есть исходящий доступ к Интернету. Если политика безопасности запрещает исходящий доступ, можно настроить правила брандмауэра или определяемые пользователем маршруты для соответствующего доступа. Дополнительные сведения см. в разделе "Обязательные правила исходящей сети".
Однако если у вас возникли внутренние проблемы с безопасностью о краже данных, политика безопасности может запретить прямой доступ к этим службам из виртуальной сети. С помощью виртуальной частной сети (VPN) с Azure Управляемый экземпляр для Apache Cassandra можно убедиться, что узлы данных в виртуальной сети взаимодействуют только с одной конечной точкой VPN без прямого доступа к любым другим службам.
Принцип работы
Виртуальная машина, называемая оператором, является частью каждой Управляемый экземпляр Azure для Apache Cassandra. Он помогает управлять кластером по умолчанию, оператор находится в той же виртуальной сети, что и кластер. Это означает, что оператор и виртуальные машины данных имеют одинаковые правила группы безопасности сети (NSG). Это не идеально подходит для соображений безопасности, и он также позволяет клиентам запретить оператору достичь необходимых служб Azure при настройке правил NSG для их подсети.
Использование VPN в качестве метода подключения для Azure Управляемый экземпляр для Apache Cassandra позволяет оператору находиться в другой виртуальной сети, отличной от кластера с помощью службы приватного канала. Это означает, что оператор может находиться в виртуальной сети, которая имеет доступ к необходимым службам Azure и кластеру может находиться в управляемой виртуальной сети.
С помощью VPN оператор теперь может подключиться к частному IP-адресу в диапазоне адресов виртуальной сети, называемой частной конечной точкой. Приватный канал направляет данные между оператором и частной конечной точкой через магистральную сеть Azure, избегая воздействия на общедоступный Интернет.
Преимущества безопасности
Мы хотим запретить злоумышленникам доступ к виртуальной сети, в которой развернут оператор и пытаться украсть данные. Таким образом, у нас есть меры безопасности, чтобы убедиться, что оператор может достичь только необходимых служб Azure.
Политики конечных точек службы. Эти политики обеспечивают детальный контроль над исходящим трафиком в виртуальной сети, особенно в службы Azure. С помощью конечных точек служб они устанавливают ограничения, разрешая доступ к данным исключительно к указанным службам Azure, таким как Мониторинг Azure, служба хранилища Azure и Azure KeyVault. В частности, эти политики гарантируют, что исходящие данные ограничены только предопределенными служба хранилища Azure учетными записями, повышая безопасность и управление данными в сетевой инфраструктуре.
Группы безопасности сети. Эти группы используются для фильтрации сетевого трафика в ресурсы в виртуальной сети Azure и от них. Мы блокируем весь трафик от оператора к Интернету и разрешаем трафик только определенным службам Azure с помощью набора правил NSG.
Использование VPN с Azure Управляемый экземпляр для Apache Cassandra
Создайте кластер Azure Управляемый экземпляр для Кластера Apache Cassandra, используя
"VPN"
в качестве значения для--azure-connection-method
параметра:az managed-cassandra cluster create \ --cluster-name "vpn-test-cluster" \ --resource-group "vpn-test-rg" \ --location "eastus2" \ --azure-connection-method "VPN" \ --initial-cassandra-admin-password "password"
Чтобы просмотреть свойства кластера, используйте следующую команду:
az managed-cassandra cluster show \ --resource-group "vpn-test-rg" \ --cluster-name "vpn-test-cluster"
Из выходных данных создайте копию
privateLinkResourceId
значения.В портал Azure создайте частную конечную точку с помощью следующих сведений:
- На вкладке "Ресурс " выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму " в качестве метода подключения и Microsoft.Network/privateLinkServices в качестве типа ресурса.
privateLinkResourceId
Введите значение из предыдущего шага. - На вкладке виртуальная сеть выберите подсеть виртуальной сети и выберите параметр статического выделения IP-адреса.
- Проверка и создание.
Примечание.
На данный момент подключение между службой управления и частной конечной точкой требует утверждения от команды Azure Управляемый экземпляр для команды Apache Cassandra.
- На вкладке "Ресурс " выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму " в качестве метода подключения и Microsoft.Network/privateLinkServices в качестве типа ресурса.
Получите IP-адрес сетевого интерфейса частной конечной точки.
Создайте новый центр обработки данных с помощью IP-адреса из предыдущего шага в качестве
--private-endpoint-ip-address
параметра.
Следующие шаги
- Сведения о конфигурации гибридного кластера в Azure Управляемый экземпляр для Apache Cassandra.