Configurar AWS PrivateLinks con Couchbase Capella

¿Qué son los PrivateLinks?

PrivateLinks es un servicio de red que permite la conexión privada entre un servicio en nube y su red virtual. Esta conexión se realiza sin exponer sus datos a la Internet pública, mejorando la seguridad al mantener el tráfico de red dentro de la red del proveedor de la nube. Al utilizar PrivateLinks, puede garantizar un acceso más seguro y fiable a los recursos de la nube, minimizando el riesgo de amenazas externas y reduciendo la latencia al mantener el tráfico interno en la red del proveedor de la nube.

Los PrivateLinks facilitan la comunicación unidireccional, mejorando la seguridad de las conexiones de red al garantizar que el tráfico sólo puede fluir en una dirección. Este diseño ayuda a evitar el acceso no autorizado y la filtración de datos, lo que refuerza aún más las ventajas de PrivateLinks para la seguridad de las redes en la nube.

 Nota: XDCR no es compatible con Private Links por el momento.

1. Inicie sesión en la consola de administración de AWS

• • Conéctese a su AWS Consola de gestión
    
  • Debería llegar a la siguiente página:
    

2. Crear una VPC en AWS

• • En la barra de búsqueda, introduzca VPC:
    
  • Debería llegar a la siguiente página:
    
    
  • Esto debería abrir el Panel VPC:
     
    
  • Elige tu región en la App Bar negra. En este ejemplo, estamos utilizando: EE.UU. Este (N. Virginia) - us-east-1
    
    
  • Haga clic en Crear VPC. Se abrirá una página con la configuración de su VPC.
    • Recursos para crear: Seleccione VPC y mucho más.
      
    • Generación automática de etiquetas de identificación: Nombre su VPC.
      
      Nota: Se recomienda utilizar un nombre significativo para poder identificar fácilmente qué VPC es la suya más adelante en el laboratorio. En este ejemplo, utilizamos privatelinkaws pero le recomendamos que utilice un nombre más personalizado para sus pruebas.
    • Bloque CIDR IPV4: Aceptar por defecto.
      
      
    • Bloque CIDR IPV6: Ninguna.
      
    • Arrendamiento: Por defecto
      
      
    • Número de AZ: 1
      
      
    • Número de subredes públicas: 1
      
      
    • Número de subredes privadas: 0
      
      
    • Pasarelas NAT: 0
      
      
    • Puntos finales de la VPC: Pasarela S3
      
      
    • Opciones DNS
      • Habilitar nombres de host DNS - Comprobar
      • Activar resolución DNS - Marcar
        
        
  • Compruebe la vista previa en la parte derecha de la página. Una vez que esté satisfecho, haga clic en Crear VPC.
    
    

• • Ahora se está creando la VPC. Puede ver el progreso en la página siguiente.
    
    
  • Anote el ID de VPC y el ID de subred. Lo necesitará más adelante. En este caso:
    • ID DE VPC =  vpc-076a949ba49ce9ab6
    • ID de subred = subnet-08245a74b801954ca

3. Crear instancia AWS EC2

• • En la barra de búsqueda, introduzca EC2.
    
    
  • Deberías aterrizar en el Panel EC2.
    
    
  • Asegúrese de que que estás en la región correcta, como aquella en la que creaste tu VPC.
    
    
  • Haga clic en Instancia de lanzamiento.
    
  • Esto abrirá una página con la configuración de tu EC2.
    • Nombre: Elija un nombre (ej. Privatelink-tester). Igual que antes, por favor, elija un nombre más significativo.
      
      
      • Aplicación e imagen del sistema operativo: Amazon Linux
        
      • Tipo de instancia: t2.micro (gratis)
        
        
      • Inicio de sesión del par de clavesHaga clic en Crear un nuevo par de claves.
        • Introduzca un nombre para su par de claves. (p. ej. .)
        • Haga clic en Crear par de claves
          
          
        • Esto descargará un .pem que debe guardar en un lugar seguro.
          
          
        • Su par de claves ya está seleccionado y disponible para reutilizarlo en la misma región.
          
          
      • Configuración de la red
        • Haga clic en Editar
          
          
        • VPC: elegir la misma VPC que la que ha creado anteriormente. Puede filtrar utilizando el nombre de su VPC o utilizando el ID de la VPC.
          
          
        • SubredSeleccione la subred que creó anteriormente. Debería seleccionarse automáticamente, ya que solo ha creado 1 subred para esta VPC.
          
          
        • Autoasignación de IP pública: Activar
          
          
        • Grupo de seguridad del cortafuegos: Crear grupo de seguridad debe seleccionarse
          
          
        • Reglas de grupos de seguridad de entrada: en Tipo de fuente, seleccione MI IP. Esto añadirá automáticamente tu IP.
          
          
      • Configurar el almacenamiento: por defecto.
        
        
  • Compruebe el resumen y haga clic en Iniciar instancia.
    
  • Tras unos segundos, debería ver que la instancia se ha lanzado correctamente. Observe el ID de la instancia EC2. En este ejemplo: i-0d78dab1f00d85746. Haga clic en el ID de la instancia EC2.

• • Deberías aterrizar en el Instancias de la región con su instancia filtrada. Haga clic en el ID de su instancia. La página de la instancia debería ser la siguiente:
    

4. Instalar la herramienta CLI de AWS

• • Para utilizar la herramienta CLI de AWS, siga estos pasos la documentación.
  • Deberías obtener credenciales temporales.

• • Para configurar la herramienta CLI de AWS, simplemente copia la Opción 1, Credenciales a corto plazo para establecer las variables de entorno de AWS y pégalo en tu terminal. (El siguiente es un ejemplo - por favor, pegue sus propias credenciales).

5. Crear una base de datos Capella

1. • Iniciar sesión en Capella con su correo electrónico corporativo y sus credenciales.
   • Dentro de su proyecto, cree una base de datos con la siguiente configuración:
     • Nube: AWS
     • Región: mismo como la región donde creó su VPC e instancia EC2
     • Nombre de su elección. Aquí Privatelinkdev
       
       

• • • Grupos de servicios: por defecto son los servicios de datos, índices, consultas y búsquedas. Añadir el servicio de análisis también, utilizado más tarde en el laboratorio y mantener la de la topología como es.
      
      
    • Todos los demás ajustes pueden permanecer por defecto.
  • Una vez que la base de datos Saludabledesplegar viaje-muestra cubo:
    • Abrir la base de datos
    • Navegue hasta el Herramientas de datos tab
    • En el Importar haga clic en Importar bajo el viaje-muestra baldosa.
      
      

B. Staje 1

1. Activar punto final privado

• • En la base de datos de Capella, abra el menú Ajustes navegue hasta Punto final privado y haga clic en Habilitar punto final privado.
    
    
  • Esta acción suele tardar unos 10 minutos en habilitar Private Endpoint.
    
    
  • Cuando esté listo, debería ver que el DNS de Private Endpoint está ahora disponible en la UI de Capella. Observe también que los Private Endpoints se facturan cada hora para AWS Private Endpoints para esta base de datos hasta que deshabilite esta opción.
    
    

2.  Añadir punto final privado

• • Haga clic en Añadir punto final privado.
    
  • Introduzca el ID de VPC y el ID de subred del paso 2 de la sección Requisitos previos. Haga clic en Siguiente.
    
    

3. Crear VPC Endpoint en AWS desde CLI

• • Copie el Orden de ejecución.
    
    
  • Abre un terminal y ejecuta el comando
    

• • Anote VPCEndpointId (resaltado) y acepte el ID del punto final en Capella.
    
    

4. Conexión completa

• • Haga clic en Acabado. Su Endpoint está siendo creado y en Pendiente estado.
    
    
  • Después de un minuto o 2, el estado debe ser Enlace.
    
    

C. Fase 2

1. Habilitar DNS privado en AWS

• • Vaya al panel de control de la VPC y haga clic en Puntos finales en el menú de la izquierda y en el nombre de su VPC. Verá al menos 2 puntos finales:
    • El endpoint S3 creado por AWS
    • Un Endpoint sin nombre, creado por el comando CLI
      
      
    • Abra el Endpoint sin nombre (en este caso vpce-01dfcbabe1bef175e) y del Acciones desplegable, con el mismo ID que el proporcionado en la lista Capella Private Endpoint Interface Endpoint. Seleccione Modificar el nombre DNS privado.
      
      
    • Consulte Activar para este punto final y haga clic en Guardar cambios.
      
      

2. Editar reglas de entrada para Private Endpoint en AWS

• • Obtengamos primero el bloque CIDR de su VPC.
    • Haga clic en Sus VPC en el panel de control de la VPC
    • Filtre el nombre de su VPC.
      
      
    • En el panel principal inferior, tenga en cuenta el CIDR IPV4. Debe ser 10.0.0.0/16
      
      
    • Obtengamos ahora el Grupo de Seguridad de Endpoint
      • Haga clic en Puntos finales en el panel de control de la VPC
      • Filtre por el nombre de su VPC. Verá al menos 2:
        • El endpoint S3 creado por AWS
        • Un Endpoint sin nombre, creado por el comando CLI
          
          
      • Seleccione el punto final sin nombre
      • En la parte inferior del panel, vaya a la pestaña Grupos de seguridad
        
      • Haga clic en el botón ID de grupo Enlazar y localizar Regla de entrada. Habrá una Regla de Entrada que se elegirá por defecto. Haga clic en Editar reglas de entrada.
        
      • Haga clic en Añadir regla
        • Tipo: Todo el tráfico
        • Fuente: A medida
        • Fuente Valor: VPC CIDR del punto 1) - por ejemplo 10.0.0.0/16
        • Haga clic en Guarda las normas.
          

3. Editar ACL de red para Private Endpoint en AWS

• • Accedamos ahora a las ACL de red del panel de control de la VPC
    • Haga clic en ACL de red en Panel VPC
    • Filtre el nombre de su VPC.
    • Habrá una ACL de red sin nombre elegida por defecto
    • En el menú desplegable Acciones, seleccione Editar Entrada normas
      

• • Añadamos ahora una regla de Entrada.
    • Haga clic en Añadir nueva regla.
    • Regla número: 101
    • Tipo: Todo el tráfico
    • Fuente: el IPv4 CIDR que se obtuvo en los pasos anteriores (por ejemplo, 10.0.0.0/16).
    • Haga clic en Guardar cambios.
      
    • Añadamos ahora una regla de salida.
      • En el menú desplegable Acciones, seleccione Editar salida normas
        
        
      • Haga clic en Añadir nueva regla.
      • Regla número: 101
      • Tipo:  TCP personalizado
      • Rango de puertos: 1024-65535
      • Fuente: el IPv4 CIDR que se obtuvo en los pasos anteriores (por ejemplo, 10.0.0.0/16).
      • Haga clic en Guardar cambios.
        

D. Probar Endpoint Privado con una Aplicacion

1. Añadir requisitos previos de Capella Security

• • En su base de datos Capella, cree Credenciales de base de datos. Ejemplo: privatelinkcapella/Couchbase123$
    • Abra el Ajustes de su base de datos
    • En el Acceso a bases de datos haga clic en Crear Acceso a bases de datos
    • Este acceso debe tener Lectura + Escritura privilegios sobre viaje-muestra cubo
      
      
    • Debería ver que se han creado las credenciales de su base de datos.
      
      
• En Capella, copie el Endpoint privado. En este ejemplo, es o3bak2eyqhmw2tq.pl.cloud.couchbase.com
  
  
• En la Capella Ajustes de su base de datos, abra la página Certificado de seguridad y descargue el certificado.
  
  
• Deberías recibir un privatelinkdev-root-certificate.txt o similar en función del nombre de su base de datos.
  
  

2. Instale Python en su instancia AWS EC2

• • Ahora vamos a SSH en EC2 Instancia.
    • Navegue hasta EC2 Dashboard
      
      
    •  Abra el Instancias página
    • Filtre en el nombre de su Instancia EC2 y seleccione su instancia.
      
    • Haga clic en Conectar
      
      
    • Esto debería abrir un Conectarse a la instancia página.
      
      
  • Conectémonos ahora a la instancia desde nuestro portátil.
    • Haga clic en Cliente SSH Tab y sigue las instrucciones para asegurarte de que tu clave privada es accesible desde tu terminal y no visible públicamente.
      

• • • Localice el ssh Ejemplo en la parte inferior y ejecútalo en tu terminal.

• • Ahora vamos a instalar el SDK de Python en la instancia. Nota: la siguiente instalación se compone de 3 comandos. Asegúrese de ejecutar cada uno de esos comandos por separado en su terminal. Cada comando también pedirá interactivamente la confirmación de la instalación del paquete.

• • Para la lib, también puede ejecutar el siguiente comando.

3. Probar una aplicación python que se conecte al Capella Private Endpoint

• • Salga de ssh para volver a su portátil local o puede abrir una nueva ventana shell

• • Cambie el nombre del certificado Capella Security .txt que descargó anteriormente por privatelink-cert.pem. Sustituya el nombre del certificado raíz por el suyo propio.

• • mv Downloads/privatelinkdev-root-certificate.txt privatelink-cert.pem

    1	mv Descargas/privatelinkdev-raíz-certificado.txt enlace privado-cert.pem

  • Copiemos privatelink-cert.pem en su instancia EC2. En el siguiente comando:
    • Sustituya el nombre de su certificado por el suyo propio.
    • Sustituya el archivo del par de claves por el que utilizó para crear su VPC.
    • Sustituya el nombre ec2 por el suyo propio (reutilice el mismo que el proporcionado en el ejemplo de cliente SSH).
    • Ejecuta el comando.
      Tenga en cuenta que el siguiente comando scp es un solo mando.
      

• • Copie el siguiente código python simple en su IDE preferido.
    • Sustituye el endpoint privado por el que creaste anteriormente
    • Sustituya las credenciales por las credenciales de la base de datos de Capella que creó anteriormente
    • Sustituye privatelink-cert.pem por el nombre de tu certificado.
    • Guarde el archivo como ejemplo.py.

• • Copie el ejemplo.py en su instancia ec2. Igual que antes, sustituya el certificado por el suyo propio, así como el nombre ec2 por el suyo propio.

• • SSH en su instancia EC2 de nuevo.
• ssh -i "NishantNVirginia.pem" ec2-user@ec2-18-212-126-71.compute-1.amazonaws.com

  1	ssh -i "NishantNVirginia.pem" ec2-usuario@ec2-18-212-126-71.computar-1.amazonaws.es

  • Comprueba que tanto tu acme-cert.pem como tu archivo example.py están ahí.

• • Ejecute su script Python. Deberías obtener el documento JSON airline_10.

4. Comandos curl de prueba que se conectan al Capella Private Endpoint

• • Todavía en la instancia EC2, intente una consulta SQL++ utilizando las API REST del servidor. Sustituye el endpoint privado por el tuyo.

• • Todavía en la instancia EC2, intente un Consulta analítica mediante las API REST del servidor.

¡Ahora has establecido una conexión privada entre tu AWS VPC y Couchbase Capella usando un Private Link! 

Conclusión

Implementar AWS Private Link para Couchbase Capella es crucial para mejorar la seguridad y fiabilidad de la comunicación de sus datos. Al establecer una conexión privada entre su VPC y Couchbase Capella, aísla eficazmente el tráfico de la Internet pública, lo que reduce el riesgo de exposición a posibles amenazas. Este enfoque garantiza que los datos permanezcan dentro de los límites seguros de su red, utilizando la sólida infraestructura de AWS para mantener una baja latencia y un alto rendimiento. AWS Private Link solo proporciona comunicación unidireccional, garantizando que los datos fluyan de forma segura desde sus recursos a Couchbase Capella sin ninguna ruta inversa. Esto convierte a AWS Private Link en una solución altamente segura y eficiente para la conectividad de bases de datos de nivel empresarial.

Referencias

• • Documentos: Añadir una conexión AWS PrivateLink
  • Documentos: Conecte su VPC a servicios mediante AWS PrivateLink
  • Empieza con un prueba de Couchbase Capella