你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 VPN 与 Azure Managed Instance for Apache Cassandra 配合使用

2025-07-22

注入虚拟网络时，Azure Managed Instance for Apache Cassandra 节点需要访问许多其他 Azure 服务。访问通常是通过确保虚拟网络具有对 Internet 的出站访问来启用的。如果你的安全策略禁止出站访问，可以为相应的访问配置防火墙规则或用户定义的路由。有关详细信息，请参阅所需的出站网络规则。

如果对数据外泄有内部安全问题，安全策略可能会禁止从虚拟网络直接访问这些服务。通过将虚拟专用网 (VPN) 与 Azure Managed Instance for Apache Cassandra 配合使用，可以确保虚拟网络中的数据节点仅与单个 VPN 终结点通信，而不能直接访问任何其他服务。

工作原理

称为作员的虚拟机（VM）是 Apache Cassandra 的每个 Azure 托管实例的一部分，有助于管理群集。默认情况下，作员与群集位于同一虚拟网络中。操作员 VM 和数据 VM 具有相同的网络安全组 (NSG) 规则，从安全原因来说这不是理想选择。它还允许在为子网设置 NSG 规则时阻止作员访问必要的 Azure 服务。

使用 VPN 作为用于 Apache Cassandra 的 Azure 托管实例的连接方法，操作员通过专用链接服务能够使其所在的虚拟网络与群集所在的虚拟网络不同。作员位于有权访问所需 Azure 服务的虚拟网络中，群集位于你控制的虚拟网络中。

使用 VPN，操作员现在可以连接到名为专用终结点的虚拟网络地址范围中的专用 IP 地址。专用链接通过 Azure 主干网络在运营商与专用终结点之间路由数据，以避免暴露于公共互联网。

安全优势

我们希望防止攻击者访问部署作员的虚拟网络，并尝试窃取数据。安全措施已到位，以确保作员只能访问必要的 Azure 服务。

服务终结点策略： 这些策略可精细控制虚拟网络中的出口流量，尤其是 Azure 服务。通过使用服务终结点，它们会建立限制。策略允许以独占方式访问指定的 Azure 服务，例如 Azure Monitor、Azure 存储和 Azure Key Vault。这些策略确保数据出口仅限于预先确定的 Azure 存储帐户，从而增强网络基础结构中的安全性和数据管理。
网络安全组： 这些组用于筛选 Azure 虚拟网络中资源的网络流量。从操作员到互联网的所有流量都被阻止。只有通过一组 NSG 规则后才能访问某些 Azure 服务。