Menggunakan VPN dengan Azure Managed Instance for Apache Cassandra

  • Artikel

Simpul Azure Managed Instance for Apache Cassandra memerlukan akses ke banyak layanan Azure lainnya saat disuntikkan ke jaringan virtual Anda. Biasanya, akses diaktifkan dengan memastikan bahwa jaringan virtual Anda memiliki akses keluar ke internet. Jika kebijakan keamanan Anda melarang akses keluar, Anda dapat mengonfigurasi aturan firewall atau rute yang ditentukan pengguna untuk akses yang sesuai. Untuk informasi selengkapnya, lihat Aturan jaringan keluar yang diperlukan.

Namun, jika Anda memiliki masalah keamanan internal tentang penyelundupan data, kebijakan keamanan Anda mungkin melarang akses langsung ke layanan ini dari jaringan virtual Anda. Dengan menggunakan jaringan privat virtual (VPN) dengan Azure Managed Instance for Apache Cassandra, Anda dapat memastikan bahwa simpul data di jaringan virtual hanya berkomunikasi dengan satu titik akhir VPN, tanpa akses langsung ke layanan lain.

Cara kerjanya

Komputer virtual yang disebut operator adalah bagian dari setiap Azure Managed Instance for Apache Cassandra. Ini membantu mengelola kluster, secara default, operator berada dalam jaringan virtual yang sama dengan kluster. Yang berarti bahwa operator dan VM data memiliki aturan Network Security Group (NSG) yang sama. Yang tidak ideal karena alasan keamanan, dan juga memungkinkan pelanggan mencegah operator menjangkau layanan Azure yang diperlukan saat mereka menyiapkan aturan NSG untuk subnet mereka.

Menggunakan VPN sebagai metode koneksi Anda untuk Azure Managed Instance for Apache Cassandra memungkinkan operator berada di jaringan virtual yang berbeda dari kluster dengan menggunakan layanan tautan privat. Artinya operator dapat berada di jaringan virtual yang memiliki akses ke layanan Azure yang diperlukan dan kluster dapat berada di jaringan virtual yang Anda kontrol.

Cuplikan layar desain vpn.

Dengan VPN, operator sekarang dapat terhubung ke alamat IP privat di dalam rentang alamat jaringan virtual Anda yang disebut titik akhir privat. Tautan privat merutekan data antara operator dan titik akhir privat melalui jaringan backbone Azure, menghindari paparan internet publik.

Manfaat Keamanan

Kami ingin mencegah penyerang mengakses jaringan virtual tempat operator disebarkan dan mencoba mencuri data. Jadi, kami memiliki langkah-langkah keamanan untuk memastikan bahwa Operator hanya dapat menjangkau layanan Azure yang diperlukan.

  • Kebijakan Titik Akhir Layanan: Kebijakan ini menawarkan kontrol terperinci atas lalu lintas keluar dalam jaringan virtual, terutama ke layanan Azure. Dengan menggunakan titik akhir layanan, mereka menetapkan pembatasan, mengizinkan akses data secara eksklusif ke layanan Azure tertentu seperti Azure Monitoring, Azure Storage, dan Azure KeyVault. Terutama, kebijakan ini memastikan bahwa keluarnya data hanya terbatas pada akun Azure Storage yang telah ditentukan, meningkatkan keamanan dan manajemen data dalam infrastruktur jaringan.

  • Grup Keamanan Jaringan: Grup ini digunakan untuk memfilter lalu lintas jaringan ke dan dari sumber daya di jaringan virtual Azure. Kami memblokir semua lalu lintas dari Operator ke internet, dan hanya mengizinkan lalu lintas ke layanan Azure tertentu melalui serangkaian aturan NSG.

Cara menggunakan VPN dengan Azure Managed Instance for Apache Cassandra

  1. Buat kluster Azure Managed Instance for Apache Cassandra dengan menggunakan "VPN" sebagai nilai untuk --azure-connection-method opsi :

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Gunakan perintah berikut untuk melihat properti kluster:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Dari output, buat salinan privateLinkResourceId nilai .

  3. Di portal Azure, buat titik akhir privat dengan menggunakan detail berikut:

    1. Pada tab Sumber Daya, pilih Koneksi ke sumber daya Azure berdasarkan ID sumber daya atau alias sebagai metode koneksi dan Microsoft.Network/privateLinkServices sebagai jenis sumber daya. Masukkan privateLinkResourceId nilai dari langkah sebelumnya.
    2. Pada tab Virtual Network , pilih subnet jaringan virtual Anda, dan pilih opsi Alokasikan alamat IP secara statis.
    3. Validasi dan buat.

    Catatan

    Saat ini, koneksi antara layanan manajemen dan titik akhir privat Anda memerlukan persetujuan dari tim Azure Managed Instance for Apache Cassandra.

  4. Dapatkan alamat IP antarmuka jaringan titik akhir privat Anda.

  5. Buat pusat data baru dengan menggunakan alamat IP dari langkah sebelumnya sebagai --private-endpoint-ip-address parameter .

Langkah berikutnya

  • Pelajari tentang konfigurasi kluster hibrid di Azure Managed Instance for Apache Cassandra.