Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управляемый экземпляр Azure для узлов Apache Cassandra требует доступа к множеству других служб Azure, когда они внедряются в вашу виртуальную сеть. Как правило, доступ включен, гарантируя, что у виртуальной сети есть исходящий доступ к Интернету. Если политика безопасности запрещает исходящий доступ, можно настроить правила брандмауэра или определяемые пользователем маршруты для соответствующего доступа. Дополнительные сведения см. в разделе "Обязательные правила исходящей сети".
Если у вас есть внутренние проблемы безопасности с кражей данных, политика безопасности может запретить прямой доступ к этим службам из виртуальной сети. С помощью виртуальной частной сети (VPN) с Azure Управляемый экземпляр для Apache Cassandra можно убедиться, что узлы данных в виртуальной сети взаимодействуют только с одной конечной точкой VPN без прямого доступа к любым другим службам.
Принцип работы
Виртуальная машина , называемая оператором, является частью каждого управляемого экземпляра Azure для Apache Cassandra, и помогает управлять кластером. По умолчанию оператор находится в той же виртуальной сети, что и кластер. Операторы и виртуальные машины данных имеют одинаковые правила группы безопасности сети (NSG), которые не идеально подходят для соображений безопасности. Кроме того, оператор не сможет достичь необходимых служб Azure при настройке правил NSG для подсети.
Использование VPN в качестве метода подключения для Управляемого экземпляра Azure для Apache Cassandra позволяет оператору находиться в другой виртуальной сети, отличной от кластера с помощью службы приватного канала. Оператор находится в виртуальной сети, которая имеет доступ к необходимым службам Azure, а кластер находится в управляемой виртуальной сети.
С помощью VPN оператор теперь может подключиться к частному IP-адресу в диапазоне адресов виртуальной сети, называемой частной конечной точкой. Приватный канал направляет данные между оператором и частной конечной точкой через магистральную сеть Azure, чтобы избежать воздействия на общедоступный Интернет.
Преимущества безопасности
Мы хотим запретить злоумышленникам получать доступ к виртуальной сети, в которой развернут оператор и пытаться украсть данные. Меры безопасности применяются, чтобы убедиться, что оператор может достичь только необходимых служб Azure.
- Политики конечных точек службы: Эти политики обеспечивают детальный контроль над исходящим трафиком в виртуальной сети, в частности в службах Azure. С помощью конечных точек службы они устанавливают ограничения. Политики позволяют получать доступ к данным исключительно к указанным службам Azure, таким как Azure Monitor, служба хранилища Azure и Azure Key Vault. Эти политики гарантируют, что исходящие данные ограничены исключительно предопределенными учетными записями хранения Azure, что повышает безопасность и управление данными в сетевой инфраструктуре.
- Группы безопасности сети: Эти группы используются для фильтрации сетевого трафика в ресурсы в виртуальной сети Azure и из них. Весь трафик блокируется от оператора к Интернету. Только трафик к определенным службам Azure разрешен с помощью набора правил NSG.
Использование VPN с azure Управляемый экземпляр для Apache Cassandra
Создайте кластер Azure Управляемый экземпляр для Кластера Apache Cassandra, используя
VPNв качестве значения для--azure-connection-methodпараметра:az managed-cassandra cluster create \ --cluster-name "vpn-test-cluster" \ --resource-group "vpn-test-rg" \ --location "eastus2" \ --azure-connection-method "VPN" \ --initial-cassandra-admin-password "password"Чтобы просмотреть свойства кластера, используйте следующую команду:
az managed-cassandra cluster show \ --resource-group "vpn-test-rg" \ --cluster-name "vpn-test-cluster"Из выходных данных создайте копию
privateLinkResourceIdзначения.На портале Azure создайте частную конечную точку , выполнив следующие действия.
- На вкладке "Ресурс" выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму" в качестве метода подключения и выберите Microsoft.Network/privateLinkServices в качестве типа ресурса.
privateLinkResourceIdВведите значение из предыдущего шага. - На вкладке виртуальная сеть выберите подсеть виртуальной сети и выберите параметр статического выделения IP-адреса.
- Проверка и создание.
Примечание.
На данный момент подключение между службой управления и частной конечной точкой требует утверждения от команды Azure Управляемый экземпляр для команды Apache Cassandra.
- На вкладке "Ресурс" выберите "Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму" в качестве метода подключения и выберите Microsoft.Network/privateLinkServices в качестве типа ресурса.
Получите IP-адрес сетевого интерфейса частной конечной точки.
Создайте новый центр обработки данных с помощью IP-адреса из предыдущего шага в качестве
--private-endpoint-ip-addressпараметра.
Связанный контент
- Сведения о конфигурации гибридного кластера в Azure Управляемый экземпляр для Apache Cassandra.