Apache Cassandra için Azure Yönetilen Örneği ile VPN kullanma

  • Makale

Apache Cassandra için Azure Yönetilen Örneği düğümleri, sanal ağınıza eklendiğinde diğer birçok Azure hizmeti için erişim gerektirir. Normalde, sanal ağınızın İnternet'e giden erişimi olduğundan emin olarak erişim etkinleştirilir. Güvenlik ilkeniz giden erişimi yasaklarsa, uygun erişim için güvenlik duvarı kurallarını veya kullanıcı tanımlı yolları yapılandırabilirsiniz. Daha fazla bilgi için bkz . Gerekli giden ağ kuralları.

Ancak, veri sızdırmayla ilgili iç güvenlik endişeleriniz varsa, güvenlik ilkeniz sanal ağınızdan bu hizmetlere doğrudan erişimi yasaklayabilir. Apache Cassandra için Azure Yönetilen Örneği ile bir sanal özel ağ (VPN) kullanarak, sanal ağdaki veri düğümlerinin diğer hizmetlere doğrudan erişim olmadan yalnızca tek bir VPN uç noktasıyla iletişim kurmasını sağlayabilirsiniz.

Nasıl çalışır?

işleci adlı bir sanal makine, Apache Cassandra için azure yönetilen örneklerinin bir parçasıdır. Varsayılan olarak, operatörün kümeyle aynı sanal ağda yer aldığı kümeyi yönetmeye yardımcı olur. Bu, işleç ve veri VM'lerinin aynı Ağ Güvenlik Grubu (NSG) kurallarına sahip olduğu anlamına gelir. Bu, güvenlik nedenleriyle ideal değildir ve müşterilerin alt ağları için NSG kuralları ayarlarken operatörün gerekli Azure hizmetlerine ulaşmasını engellemesine de olanak tanır.

Apache Cassandra için Azure Yönetilen Örneği'nde bağlantı yönteminiz olarak VPN kullanmak, özel bağlantı hizmetini kullanarak operatörün kümeden farklı bir sanal ağda olmasını sağlar. Bu, operatörün gerekli Azure hizmetlerine erişimi olan bir sanal ağda olabileceği ve kümenin sizin denetlediğiniz bir sanal ağda olabileceği anlamına gelir.

Vpn tasarımının ekran görüntüsü.

VPN ile operatör artık sanal ağınızın adres aralığı içinde özel uç nokta adı verilen bir özel IP adresine bağlanabilir. Özel bağlantı, verileri operatörle özel uç nokta arasında Azure omurga ağı üzerinden yönlendirir ve genel İnternet'e maruz kalmaktan kaçınıyor.

Güvenlik Avantajları

Saldırganların operatörün dağıtıldığı sanal ağa erişmesini ve verileri çalmaya çalışmasını engellemek istiyoruz. Bu nedenle, Operatörün yalnızca gerekli Azure hizmetlerine ulaşabileceğinden emin olmak için güvenlik önlemlerimiz vardır.

  • Hizmet Uç Noktası İlkeleri: Bu ilkeler, özellikle Azure hizmetlerine olmak üzere sanal ağ içindeki çıkış trafiği üzerinde ayrıntılı denetim sağlar. Hizmet uç noktalarını kullanarak kısıtlamalar oluşturur ve yalnızca Azure İzleme, Azure Depolama ve Azure KeyVault gibi belirtilen Azure hizmetlerine veri erişimine izin verir. Özellikle, bu ilkeler veri çıkışının yalnızca önceden belirlenmiş Azure Depolama hesaplarıyla sınırlı olmasını sağlayarak ağ altyapısı içinde güvenlik ve veri yönetimini geliştirir.

  • Ağ Güvenlik Grupları: Bu gruplar, Azure sanal ağındaki kaynaklara gelen ve kaynaklardan gelen ağ trafiğini filtrelemek için kullanılır. Operatörden İnternet'e giden tüm trafiği engelleriz ve yalnızca bir dizi NSG kuralı aracılığıyla belirli Azure hizmetlerine giden trafiğe izin veririz.

Apache Cassandra için Azure Yönetilen Örneği ile VPN kullanma

  1. Seçeneğin değeri --azure-connection-method olarak kullanarak "VPN" Apache Cassandra için Azure Yönetilen Örneği oluşturun:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Küme özelliklerini görmek için aşağıdaki komutu kullanın:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Çıktıdan değerin bir kopyasını privateLinkResourceId alın.

  3. Azure portalında şu ayrıntıları kullanarak özel bir uç nokta oluşturun:

    1. Kaynak sekmesinde, bağlantı yöntemi olarak kaynak kimliğine veya diğer adlara göre bir Azure kaynağına Bağlan ve kaynak türü olarak Microsoft.Network/privateLinkServices'i seçin. Önceki adımdaki privateLinkResourceId değeri girin.
    2. Sanal Ağ sekmesinde sanal ağınızın alt ağını seçin ve Statik olarak IP adresi ayır seçeneğini belirleyin.
    3. Doğrulama ve oluşturma.

    Not

    Şu anda yönetim hizmetiyle özel uç noktanız arasındaki bağlantı, Apache Cassandra için Azure Yönetilen Örneği ekibinden onay gerektirir.

  4. Özel uç noktanızın ağ arabiriminin IP adresini alın.

  5. Parametre olarak --private-endpoint-ip-address önceki adımda yer alan IP adresini kullanarak yeni bir veri merkezi oluşturun.

Sonraki adımlar

  • Apache Cassandra için Azure Yönetilen Örneği'nde karma küme yapılandırması hakkında bilgi edinin.