Apache Cassandra için Azure Yönetilen Örneği ile VPN kullanma

Apache Cassandra için Azure Yönetilen Örneği düğümleri, sanal ağınıza dahil edildiğinde birçok Azure hizmetine erişim gerektirir. Normalde, sanal ağınızın İnternet'e giden erişimi olduğundan emin olarak erişim etkinleştirilir. Güvenlik ilkeniz giden erişimi yasaklarsa, uygun erişim için güvenlik duvarı kurallarını veya kullanıcı tanımlı yolları yapılandırabilirsiniz. Daha fazla bilgi için bkz . Gerekli giden ağ kuralları.

Veri sızdırmayla ilgili iç güvenlik endişeleriniz varsa, güvenlik ilkeniz sanal ağınızdan bu hizmetlere doğrudan erişimi yasaklayabilir. Apache Cassandra için Azure Yönetilen Örneği ile bir sanal özel ağ (VPN) kullanarak, sanal ağdaki veri düğümlerinin diğer hizmetlere doğrudan erişim olmadan yalnızca tek bir VPN uç noktasıyla iletişim kurmasını sağlayabilirsiniz.

Nasıl çalışır?

"Operator" adlı sanal makine (VM), Apache Cassandra için Azure yönetilen örneklerinin bir parçası olup kümenin yönetilmesine yardımcı olur. Varsayılan olarak, operatör, küme ile aynı sanal ağdadır. İşleç ve veri VM'leri, güvenlik nedeniyle ideal olmayan aynı ağ güvenlik grubu (NSG) kurallarına sahiptir. Ayrıca alt ağınız için NSG kuralları ayarlarken operatörün gerekli Azure hizmetlerine ulaşmasını engellemenizi sağlar.

Apache Cassandra için Azure Yönetilen Örneği'nde bağlantı yönteminiz olarak VPN kullanmak, özel bağlantı hizmetini kullanarak operatörün kümeden farklı bir sanal ağda olmasını sağlar. operatör, gerekli Azure hizmetlerine erişimi olan bir sanal ağda ve küme de denetlediğiniz bir sanal ağda yer alır.

VPN ile operatör artık sanal ağınızın adres aralığı içinde özel uç nokta adı verilen bir özel IP adresine bağlanabilir. Özel bağlantı, genel İnternet'e maruz kalmamak için verileri operatörle özel uç nokta arasında Azure omurga ağı üzerinden yönlendirir.

Güvenlik avantajları

Saldırganların operatörün dağıtıldığı sanal ağa erişmesini ve veri çalmaya çalışmasını engellemek istiyoruz. Operatörün yalnızca gerekli Azure hizmetlerine ulaşmasını sağlamak için güvenlik önlemleri alınıyor.

• Hizmet uç noktası ilkeleri: Bu ilkeler, özellikle Azure hizmetlerinde olmak üzere sanal ağ içindeki çıkış trafiği üzerinde ayrıntılı denetim sağlar. Hizmet uç noktalarını kullanarak kısıtlamalar oluşturur. İlkeler yalnızca Azure İzleyici, Azure Depolama ve Azure Key Vault gibi belirtilen Azure hizmetlerine veri erişimine izin verir. Bu ilkeler, veri çıkışının yalnızca önceden belirlenmiş Azure Depolama hesaplarıyla sınırlı olmasını sağlar ve bu da ağ altyapısı içindeki güvenlik ve veri yönetimini geliştirir.
• Ağ güvenlik grupları: Bu gruplar, Bir Azure sanal ağındaki kaynaklara gelen ve kaynaklardan gelen ağ trafiğini filtrelemek için kullanılır. Operatörden İnternet'e tüm trafik engellenir. Bir dizi NSG kuralı aracılığıyla yalnızca belirli Azure hizmetlerine yönelik trafiğe izin verilir.

Apache Cassandra için Azure Yönetilen Örneği ile VPN kullanma

1. Seçeneğin değeri VPN olarak kullanarak --azure-connection-method Apache Cassandra için Azure Yönetilen Örneği oluşturun:

   az managed-cassandra cluster create \
   --cluster-name "vpn-test-cluster" \
   --resource-group "vpn-test-rg" \
   --location "eastus2" \
   --azure-connection-method "VPN" \
   --initial-cassandra-admin-password "password"
   

2. Küme özelliklerini görmek için aşağıdaki komutu kullanın:

   az managed-cassandra cluster show \
   --resource-group "vpn-test-rg" \
   --cluster-name "vpn-test-cluster"
   

   Çıktıdan değerin bir kopyasını privateLinkResourceId alın.

3. Azure portalında şu adımları izleyerek özel bir uç nokta oluşturun :

   1. Kaynak sekmesinde Bağlantı yöntemi olarak Kaynak kimliğine veya diğer adla Azure kaynağına bağlan'ı ve kaynak türü olarak Microsoft.Network/privateLinkServices'i seçin. Önceki adımdaki privateLinkResourceId değeri girin.
   2. Sanal Ağ sekmesinde sanal ağınızın alt ağını seçin ve Statik olarak IP adresi ayır seçeneğini belirleyin.
   3. Doğrulama ve oluşturma.

   Not

   Şu anda yönetim hizmetiyle özel uç noktanız arasındaki bağlantı, Apache Cassandra için Azure Yönetilen Örneği ekibinden onay gerektirir.

4. Özel uç noktanızın ağ arabiriminin IP adresini alın.

5. Parametre olarak --private-endpoint-ip-address önceki adımda yer alan IP adresini kullanarak yeni bir veri merkezi oluşturun.

İlgili içerik

• Apache Cassandra için Azure Yönetilen Örneği'nde karma küme yapılandırması hakkında bilgi edinin.