Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A Instância gerida do Azure para nós do Apache Cassandra requer acesso a muitos outros serviços do Azure quando são injetados na sua rede virtual. Normalmente, o acesso é ativado garantindo que sua rede virtual tenha acesso de saída à Internet. Se a sua política de segurança proibir o acesso de saída, pode configurar regras de firewall ou rotas definidas pelo utilizador para o acesso adequado. Para obter mais informações, consulte Regras de rede de saída necessárias.
Se você tiver preocupações internas de segurança sobre a exfiltração de dados, sua política de segurança pode proibir o acesso direto a esses serviços a partir de sua rede virtual. Usando uma rede virtual privada (VPN) com a Instância Gerenciada do Azure para Apache Cassandra, você pode garantir que os nós de dados na rede virtual se comuniquem com apenas um único ponto de extremidade VPN, sem acesso direto a nenhum outro serviço.
Como funciona
Uma máquina virtual (VM) chamada operador faz parte de cada Instância Gerenciada do Azure para Apache Cassandra e ajuda a gerenciar o cluster. Por padrão, o operador está na mesma rede virtual que o cluster. O operador e as VMs de dados têm as mesmas regras de grupo de segurança de rede (NSG), o que não é ideal por motivos de segurança. Ele também permite que você impeça que o operador alcance os serviços necessários do Azure quando você configura regras NSG para sua sub-rede.
Usar uma VPN como seu método de conexão para a Instância Gerenciada do Azure para Apache Cassandra permite que o operador esteja em uma rede virtual diferente do cluster usando o serviço de link privado. O operador está em uma rede virtual que tem acesso aos serviços necessários do Azure e o cluster está em uma rede virtual que você controla.
Com a VPN, o operador pode agora ligar-se a um endereço IP privado dentro do intervalo de endereços da sua rede virtual chamado ponto de extremidade privado. O link privado roteia os dados entre o operador e o ponto de extremidade privado por meio da rede de backbone do Azure para evitar a exposição à Internet pública.
Benefícios de segurança
Queremos impedir que invasores acessem a rede virtual onde o operador está implantado e tentem roubar dados. Medidas de segurança estão em vigor para garantir que o operador possa acessar apenas os serviços necessários do Azure.
- Políticas de endpoint de serviço: Essas políticas oferecem controle granular sobre o tráfego de saída dentro da rede virtual, especialmente para os serviços Azure. Ao usar pontos de extremidade de serviço, eles estabelecem restrições. As políticas permitem o acesso a dados exclusivamente a serviços especificados do Azure, como o Azure Monitor, o Armazenamento do Azure e o Azure Key Vault. Essas políticas garantem que a saída de dados seja limitada apenas a contas de Armazenamento do Azure predeterminadas, o que aprimora a segurança e o gerenciamento de dados na infraestrutura de rede.
- Grupos de segurança de rede: Esses grupos são usados para filtrar o tráfego de rede de e para os recursos em uma rede virtual do Azure. Todo o tráfego é bloqueado do operador para a internet. Apenas o tráfego para determinados serviços do Azure é permitido através de um conjunto de regras NSG.
Usar uma VPN com a Instância Gerenciada do Azure para Apache Cassandra
Crie uma Instância Gerenciada do Azure para cluster Apache Cassandra usando
VPNcomo valor para a--azure-connection-methodopção:az managed-cassandra cluster create \ --cluster-name "vpn-test-cluster" \ --resource-group "vpn-test-rg" \ --___location "eastus2" \ --azure-connection-method "VPN" \ --initial-cassandra-admin-password "password"Use o seguinte comando para ver as propriedades do cluster:
az managed-cassandra cluster show \ --resource-group "vpn-test-rg" \ --cluster-name "vpn-test-cluster"A partir da saída, faça uma cópia do
privateLinkResourceIdvalor.No portal do Azure, crie um ponto de extremidade privado seguindo estas etapas:
- Na guia Recurso , selecione Conectar a um recurso do Azure por ID de recurso ou alias como o método de conexão e selecione Microsoft.Network/privateLinkServices como o tipo de recurso. Insira o
privateLinkResourceIdvalor da etapa anterior. - Na guia Rede Virtual, selecione a sub-rede da rede virtual e selecione a opção Alocar endereço IP estaticamente.
- Valide e crie.
Nota
No momento, a conexão entre o serviço de gerenciamento e seu ponto de extremidade privado requer aprovação da Instância Gerenciada do Azure para a equipe Apache Cassandra.
- Na guia Recurso , selecione Conectar a um recurso do Azure por ID de recurso ou alias como o método de conexão e selecione Microsoft.Network/privateLinkServices como o tipo de recurso. Insira o
Obtenha o endereço IP da interface de rede do seu ponto de extremidade privado.
Crie um novo datacenter usando o endereço IP da etapa anterior como
--private-endpoint-ip-addressparâmetro.
Conteúdo relacionado
- Saiba mais sobre a configuração de cluster híbrido na Instância Gerenciada do Azure para Apache Cassandra.