AAzure Managed Instance for Apache Cassandra에서 VPN 사용

Apache Cassandra 노드용 Azure Managed Instance는 가상 네트워크에 삽입될 때 다른 많은 Azure 서비스에 액세스해야 합니다. 일반적으로 가상 네트워크에 인터넷에 대한 아웃바운드 액세스 권한이 있는지 확인하여 액세스를 사용하도록 설정합니다. 보안 정책에서 아웃바운드 액세스를 금지하는 경우 적절한 액세스를 위해 방화벽 규칙 또는 사용자 정의 경로를 구성할 수 있습니다. 자세한 내용은 필수 아웃바운드 네트워크 규칙을 참조하세요.

데이터 반출에 대한 내부 보안 문제가 있는 경우 보안 정책에서 가상 네트워크에서 이러한 서비스에 직접 액세스하는 것을 금지할 수 있습니다. Azure Managed Instance for Apache Cassandra와 함께 VPN(가상 사설망)을 사용하면 가상 네트워크의 데이터 노드가 다른 서비스에 직접 액세스하지 않고 단일 VPN 엔드포인트와만 통신하도록 할 수 있습니다.

작동 방식

운영자라고 하는 VM(가상 머신)은 Apache Cassandra에 대한 각 Azure Managed Instance의 일부이며 클러스터를 관리하는 데 도움이 됩니다. 기본적으로 연산자는 클러스터와 동일한 가상 네트워크에 있습니다. 운영자와 데이터 VM에는 보안상의 이유로 적합하지 않은 NSG(네트워크 보안 그룹) 규칙이 동일합니다. 또한 서브넷에 대한 NSG 규칙을 설정할 때 운영자가 필요한 Azure 서비스에 도달하지 못하도록 할 수 있습니다.

Apache Cassandra용 Azure Managed Instance에 대한 연결 방법으로 VPN을 사용하면 운영자가 프라이빗 링크 서비스를 사용하여 클러스터와 다른 가상 네트워크에 있을 수 있습니다. 운영자는 필요한 Azure 서비스에 액세스할 수 있는 가상 네트워크에 있고 클러스터는 사용자가 제어하는 가상 네트워크에 있습니다.

VPN을 사용하여 운영자는 이제 프라이빗 엔드포인트라는 가상 네트워크의 주소 범위 내에 있는 개인 IP 주소에 연결할 수 있습니다. 프라이빗 링크는 퍼블릭 인터넷에 노출되는 것을 방지하기 위해 Azure 백본 네트워크를 통해 운영자와 프라이빗 엔드포인트 간에 데이터를 라우팅합니다.

보안 이점

공격자가 운영자가 배포된 가상 네트워크에 액세스하여 데이터를 도용하지 못하게 하려고 합니다. 운영자가 필요한 Azure 서비스에만 연결할 수 있도록 보안 조치가 적용됩니다.

• 서비스 엔드포인트 정책: 이러한 정책은 가상 네트워크 내의 송신 트래픽, 특히 Azure 서비스에 대한 세부적인 제어를 제공합니다. 서비스 엔드포인트를 사용하여 제한을 설정합니다. 정책은 Azure Monitor, Azure Storage 및 Azure Key Vault와 같은 지정된 Azure 서비스에만 데이터 액세스를 허용합니다. 이러한 정책을 통해 데이터 송신은 미리 정해진 Azure Storage 계정으로만 제한되므로 네트워크 인프라 내에서 보안 및 데이터 관리가 향상됩니다.
• 네트워크 보안 그룹: 이러한 그룹은 Azure 가상 네트워크의 리소스에서 네트워크 트래픽을 필터링하는 데 사용됩니다. 모든 트래픽이 운영자에서 인터넷으로 차단됩니다. NSG 규칙 집합을 통해 특정 Azure 서비스에 대한 트래픽만 허용됩니다.

AAzure Managed Instance for Apache Cassandra에서 VPN 사용

1. VPN 옵션 값으로 --azure-connection-method(을)를 사용하여 Apache Cassandra용 Azure Managed Instance 클러스터를 만듭니다.

   az managed-cassandra cluster create \
   --cluster-name "vpn-test-cluster" \
   --resource-group "vpn-test-rg" \
   --___location "eastus2" \
   --azure-connection-method "VPN" \
   --initial-cassandra-admin-password "password"
   

2. 다음 명령을 사용하여 클러스터 속성을 확인합니다.

   az managed-cassandra cluster show \
   --resource-group "vpn-test-rg" \
   --cluster-name "vpn-test-cluster"
   

   출력에서 privateLinkResourceId 값의 복사본을 만듭니다.

3. Azure Portal에서 다음 단계에 따라 프라이빗 엔드포인트를 만듭니 다.

   1. 리소스 탭에서 리소스 ID 또는 별칭을 연결 방법으로 Azure 리소스에 연결하고 리소스 유형으로 Microsoft.Network/privateLinkServices를 선택합니다. 이전 단계의 privateLinkResourceId 값을 입력합니다.
   2. Virtual Network 탭에서 가상 네트워크의 서브넷을 선택하고 고정적으로 IP 주소 할당 옵션을 선택합니다.
   3. 유효성 및 만들기

   참고 항목

   현재 관리 서비스와 프라이빗 엔드포인트 간의 연결에는 Azure Managed Instance for Apache Cassandra 팀 승인이 필요합니다.

4. 프라이빗 엔드포인트 네트워크 인터페이스의 IP 주소를 가져옵니다.

5. 이전 단계의 IP 주소를 --private-endpoint-ip-address 매개 변수로 사용하여 새 데이터 센터를 만듭니다.

관련 콘텐츠

• Azure Managed Instance for Apache Cassandra의 하이브리드 클러스터 구성에 대해 알아보세요.