Usare una VPN con Azure Istanza gestita per Apache Cassandra

  • Articolo

Azure Istanza gestita per i nodi Apache Cassandra richiede l'accesso a molti altri servizi di Azure quando vengono inseriti nella rete virtuale. In genere, l'accesso è abilitato assicurando che la rete virtuale abbia accesso in uscita a Internet. Se i criteri di sicurezza impediscono l'accesso in uscita, è possibile configurare regole del firewall o route definite dall'utente per l'accesso appropriato. Per altre informazioni, vedere Regole di rete in uscita necessarie.

Tuttavia, se si hanno problemi di sicurezza interni sull'esfiltrazione dei dati, i criteri di sicurezza potrebbero impedire l'accesso diretto a questi servizi dalla rete virtuale. Usando una rete privata virtuale (VPN) con Azure Istanza gestita per Apache Cassandra, è possibile assicurarsi che i nodi dati nella rete virtuale comunichino con un solo endpoint VPN, senza accesso diretto ad altri servizi.

Funzionamento

Una macchina virtuale denominata operatore fa parte di ogni Istanza gestita di Azure per Apache Cassandra. Consente di gestire il cluster, per impostazione predefinita, l'operatore si trova nella stessa rete virtuale del cluster. Ciò significa che l'operatore e le macchine virtuali dati hanno le stesse regole del gruppo di sicurezza di rete( NSG). Che non è ideale per motivi di sicurezza e consente anche ai clienti di impedire all'operatore di raggiungere i servizi di Azure necessari quando configurano le regole del gruppo di sicurezza di rete per la subnet.

L'uso della VPN come metodo di connessione per un Istanza gestita di Azure per Apache Cassandra consente all'operatore di trovarsi in una rete virtuale diversa rispetto al cluster usando il servizio collegamento privato. Ciò significa che l'operatore può trovarsi in una rete virtuale che ha accesso ai servizi di Azure necessari e che il cluster può trovarsi in una rete virtuale che si controlla.

Screenshot di una progettazione VPN.

Con la VPN, l'operatore può ora connettersi a un indirizzo IP privato all'interno dell'intervallo di indirizzi della rete virtuale denominato endpoint privato. Il collegamento privato indirizza i dati tra l'operatore e l'endpoint privato tramite la rete backbone di Azure, evitando l'esposizione a Internet pubblico.

Vantaggi per la sicurezza

Si vuole impedire agli utenti malintenzionati di accedere alla rete virtuale in cui viene distribuito l'operatore e tentare di rubare i dati. Sono quindi disponibili misure di sicurezza per assicurarsi che l'operatore possa raggiungere solo i servizi di Azure necessari.

  • Criteri degli endpoint di servizio: questi criteri offrono un controllo granulare sul traffico in uscita all'interno della rete virtuale, in particolare per i servizi di Azure. Usando gli endpoint di servizio, stabiliscono restrizioni, consentendo l'accesso ai dati esclusivamente ai servizi di Azure specificati, ad esempio Monitoraggio di Azure, Archiviazione di Azure e Azure KeyVault. In particolare, questi criteri assicurano che l'uscita dei dati sia limitata esclusivamente agli account di Archiviazione di Azure predeterminati, migliorando la sicurezza e la gestione dei dati all'interno dell'infrastruttura di rete.

  • Gruppi di sicurezza di rete: questi gruppi vengono usati per filtrare il traffico di rete da e verso le risorse in una rete virtuale di Azure. Viene bloccato tutto il traffico dall'operatore a Internet e viene consentito solo il traffico verso determinati servizi di Azure tramite un set di regole del gruppo di sicurezza di rete.

Come usare una VPN con Azure Istanza gestita per Apache Cassandra

  1. Creare un Istanza gestita di Azure per il cluster Apache Cassandra usando "VPN" come valore per l'opzione --azure-connection-method :

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. Usare il comando seguente per visualizzare le proprietà del cluster:

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    Nell'output creare una copia del privateLinkResourceId valore.

  3. Nella portale di Azure creare un endpoint privato usando questi dettagli:

    1. Nella scheda Risorsa selezionare Connessione a una risorsa di Azure in base all'ID risorsa o all'alias come metodo di connessione e Microsoft.Network/privateLinkServices come tipo di risorsa. Immettere il privateLinkResourceId valore del passaggio precedente.
    2. Nella scheda Rete virtuale selezionare la subnet della rete virtuale e selezionare l'opzione Allocazione statica dell'indirizzo IP.
    3. Convalidare e creare.

    Nota

    Al momento, la connessione tra il servizio di gestione e l'endpoint privato richiede l'approvazione del team di Azure Istanza gestita per Apache Cassandra.

  4. Ottenere l'indirizzo IP dell'interfaccia di rete dell'endpoint privato.

  5. Creare un nuovo data center usando l'indirizzo IP del passaggio precedente come --private-endpoint-ip-address parametro.

Passaggi successivi

  • Informazioni sulla configurazione del cluster ibrido in Azure Istanza gestita per Apache Cassandra.