Dela via

Använda ett VPN med Azure Managed Instance för Apache Cassandra

Azure Managed Instance för Apache Cassandra-noder kräver åtkomst till många andra Azure-tjänster när de matas in i ditt virtuella nätverk. Normalt är åtkomst aktiverad genom att se till att ditt virtuella nätverk har utgående åtkomst till Internet. Om din säkerhetsprincip förbjuder utgående åtkomst kan du konfigurera brandväggsregler eller användardefinierade vägar för lämplig åtkomst. Mer information finns i Obligatoriska regler för utgående nätverk.

Om du har interna säkerhetsproblem med dataexfiltrering kan din säkerhetsprincip förbjuda direkt åtkomst till dessa tjänster från ditt virtuella nätverk. Genom att använda ett virtuellt privat nätverk (VPN) med Azure Managed Instance för Apache Cassandra kan du se till att datanoder i det virtuella nätverket endast kommunicerar med en enda VPN-slutpunkt, utan direkt åtkomst till andra tjänster.

Hur det fungerar

En virtuell dator (VM) som kallas operatorn är en del av varje Azure Managed Instance för Apache Cassandra, och den hjälper till att hantera klustret. Som standard finns operatorn i samma virtuella nätverk som klustret. Operatorn och de virtuella datadatorerna har samma NSG-regler (Network Security Group), vilket inte är idealiskt av säkerhetsskäl. Du kan också förhindra att operatorn når nödvändiga Azure-tjänster när du konfigurerar NSG-regler för ditt undernät.

Om du använder ett VPN som anslutningsmetod för Azure Managed Instance för Apache Cassandra kan operatören vara i ett annat virtuellt nätverk än klustret med hjälp av tjänsten private link. Operatören finns i ett virtuellt nätverk som har åtkomst till nödvändiga Azure-tjänster och klustret finns i ett virtuellt nätverk som du styr.

Diagram som visar en VPN-design.

Med VPN kan operatören nu ansluta till en privat IP-adress inom adressintervallet för det virtuella nätverket som kallas privat slutpunkt. Den privata länken dirigerar data mellan operatören och den privata slutpunkten via Azure-stamnätverket för att undvika exponering för det offentliga Internet.

Säkerhetsfördelar

Vi vill förhindra att angripare kommer åt det virtuella nätverk där operatören distribueras och försöker stjäla data. Säkerhetsåtgärder finns för att säkerställa att operatören endast kan nå nödvändiga Azure-tjänster.

  • Tjänstslutpunktsprinciper: Dessa principer ger detaljerad kontroll över utgående trafik i det virtuella nätverket, särskilt till Azure-tjänster. Genom att använda tjänstslutpunkter upprättar de begränsningar. Principer tillåter dataåtkomst exklusivt till angivna Azure-tjänster som Azure Monitor, Azure Storage och Azure Key Vault. Dessa principer säkerställer att utgående data begränsas enbart till fördefinierade Azure Storage-konton, vilket förbättrar säkerheten och datahanteringen i nätverksinfrastrukturen.
  • Nätverkssäkerhetsgrupper: Dessa grupper används för att filtrera nätverkstrafik till och från resurserna i ett virtuellt Azure-nätverk. All trafik blockeras från operatören till Internet. Endast trafik till vissa Azure-tjänster tillåts via en uppsättning NSG-regler.

Använda ett VPN med Azure Managed Instance för Apache Cassandra

  1. Skapa ett Azure Managed Instance för Apache Cassandra-kluster med hjälp VPN av som värde för --azure-connection-method alternativet:

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Använd följande kommando för att se klusteregenskaperna:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Från utdata gör du en kopia av värdet privateLinkResourceId .

  3. Skapa en privat slutpunkt i Azure-portalen genom att följa dessa steg:

    1. På fliken Resurs väljer du Anslut till en Azure-resurs efter resurs-ID eller alias som anslutningsmetod och väljer Microsoft.Network/privateLinkServices som resurstyp. Ange värdet privateLinkResourceId från föregående steg.
    2. På fliken Virtuellt nätverk väljer du det virtuella nätverkets undernät och väljer alternativet Statiskt allokera IP-adress .
    3. Verifiera och skapa.

    Kommentar

    För närvarande kräver anslutningen mellan hanteringstjänsten och din privata slutpunkt godkännande från Azure Managed Instance för Apache Cassandra-teamet.

  4. Hämta IP-adressen för den privata slutpunktens nätverksgränssnitt.

  5. Skapa ett nytt datacenter med hjälp av IP-adressen från föregående steg som --private-endpoint-ip-address parameter.

Relaterat innehåll

  • Lär dig mer om konfiguration av hybridkluster i Azure Managed Instance för Apache Cassandra.