AAzure Managed Instance for Apache Cassandra에서 VPN 사용

  • 아티클

Azure Managed Instance for Apache Cassandra 노드는 가상 네트워크에 삽입될 때 다른 많은 Azure 서비스에 액세스해야 합니다. 일반적으로 가상 네트워크에 인터넷에 대한 아웃바운드 액세스 권한이 있는지 확인하여 액세스를 사용하도록 설정합니다. 보안 정책에서 아웃바운드 액세스를 금지하는 경우 적절한 액세스를 위해 방화벽 규칙 또는 사용자 정의 경로를 구성할 수 있습니다. 자세한 내용은 필수 아웃바운드 네트워크 규칙을 참조하세요.

그러나 데이터 반출에 대한 내부 보안 문제가 있는 경우 보안 정책으로 가상 네트워크에서 이러한 서비스에 직접 액세스하는 것을 금지할 수 있습니다. Azure Managed Instance for Apache Cassandra와 함께 VPN(가상 사설망)을 사용하면 가상 네트워크의 데이터 노드가 다른 서비스에 직접 액세스하지 않고 단일 VPN 엔드포인트와만 통신하도록 할 수 있습니다.

작동 방식

운영자라는 가상 머신은 각 Azure Managed Instance for Apache Cassandra의 일부입니다. 기본적으로 운영자는 클러스터와 동일한 가상 네트워크에 있는 클러스터를 관리하는 데 도움이 됩니다. 즉, 운영자와 데이터 VM에는 동일한 NSG(네트워크 보안 그룹) 규칙이 있습니다. 이는 보안상의 이유로 이상적이지 않으며 고객이 서브넷에 대한 NSG 규칙을 설정할 때 운영자가 필요한 Azure 서비스에 도달하지 못하도록 할 수도 있습니다.

Azure Managed Instance for Apache Cassandra에 대한 연결 방법으로 VPN을 사용하면 운영자가 프라이빗 링크 서비스를 사용하여 클러스터와 다른 가상 네트워크에 있을 수 있습니다. 즉, 운영자는 필요한 Azure 서비스에 액세스할 수 있는 가상 네트워크에 있을 수 있으며 클러스터는 사용자가 제어하는 가상 네트워크에 있을 수 있습니다.

vpn 디자인 스크린샷.

VPN을 사용하여 운영자는 이제 프라이빗 엔드포인트라는 가상 네트워크의 주소 범위 내에 있는 개인 IP 주소에 연결할 수 있습니다. 프라이빗 링크는 Azure 백본 네트워크를 통해 운영자와 프라이빗 엔드포인트 간에 데이터를 라우팅하여 공용 인터넷에 노출되는 것을 방지합니다.

보안 혜택

공격자가 운영자가 배포된 가상 네트워크에 액세스하여 데이터를 도용하는 것을 방지하려고 합니다. 따라서 운영자가 필요한 Azure 서비스에만 연결할 수 있도록 하기 위한 보안 조치가 마련되어 있습니다.

  • 서비스 엔드포인트 정책: 이러한 정책은 가상 네트워크 내의 송신 트래픽, 특히 Azure 서비스에 대한 세부적인 제어를 제공합니다. 서비스 엔드포인트를 사용하여 제한을 설정하여 Azure Monitoring, Azure Storage 및 Azure KeyVault와 같은 지정된 Azure 서비스에만 데이터 액세스를 허용합니다. 특히 이러한 정책은 데이터 송신이 미리 결정된 Azure Storage 계정으로만 제한되도록 하여 네트워크 인프라 내에서 보안 및 데이터 관리를 강화합니다.

  • 네트워크 보안 그룹: 이러한 그룹은 Azure 가상 네트워크의 리소스에서 네트워크 트래픽을 필터링하는 데 사용됩니다. 운영자에서 인터넷으로의 모든 트래픽을 차단하고 NSG 규칙 집합을 통해 특정 Azure 서비스에 대한 트래픽만 허용합니다.

Azure Managed Instance for Apache Cassandra에서 VPN을 사용하는 방법

  1. --azure-connection-method 옵션 값으로 "VPN"(을)를 사용하여 Apache Cassandra용 Azure Managed Instance 클러스터를 만듭니다.

    az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

  2. 다음 명령을 사용하여 클러스터 속성을 확인합니다.

    az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"

    출력에서 privateLinkResourceId 값의 복사본을 만듭니다.

  3. Azure Portal에서 다음 세부 정보를 사용하여 프라이빗 엔드포인트를 만듭니다.

    1. 리소스 탭에서 리소스 ID 또는 별칭 연결 방법으로 Azure 리소스에 연결을 선택하고 Microsoft.Network/privateLinkServices를 리소스 유형으로 선택합니다. 이전 단계의 privateLinkResourceId 값을 입력합니다.
    2. Virtual Network 탭에서 가상 네트워크의 서브넷을 선택하고 고정적으로 IP 주소 할당 옵션을 선택합니다.
    3. 유효성 및 만들기

    참고 항목

    현재 관리 서비스와 프라이빗 엔드포인트 간의 연결에는 Azure Managed Instance for Apache Cassandra 팀 승인이 필요합니다.

  4. 프라이빗 엔드포인트 네트워크 인터페이스의 IP 주소를 가져옵니다.

  5. 이전 단계의 IP 주소를 --private-endpoint-ip-address 매개 변수로 사용하여 새 데이터 센터를 만듭니다.

다음 단계