Configuración de Azure PrivateLink con Couchbase Capella

¿Qué son los PrivateLinks?

PrivateLinks es un servicio de red que permite la conexión privada entre un servicio en nube y su red virtual. Esta conexión se realiza sin exponer sus datos a la Internet pública, mejorando la seguridad al mantener el tráfico de red dentro de la red del proveedor de la nube. Al utilizar PrivateLinks, puede garantizar un acceso más seguro y fiable a los recursos de la nube, minimizando el riesgo de amenazas externas y reduciendo la latencia al mantener el tráfico interno en la red del proveedor de la nube.

Los PrivateLinks facilitan la comunicación unidireccional, mejorando la seguridad de las conexiones de red al garantizar que el tráfico sólo puede fluir en una dirección. Este diseño ayuda a evitar el acceso no autorizado y la filtración de datos, lo que refuerza aún más las ventajas de PrivateLinks para la seguridad de las redes en la nube.

Nota: XDCR no es compatible con PrivateLinks por el momento.

Parte 1 - Instalación de Azure CLI

1. 1. Abra un terminal y instalar la CLI de Azure utilizando los comandos en este enlace para Mac y Windows:
      • brew update && brew install azure-cli # comando para MacOS

Parte 2 - Creación de un grupo de recursos, una red virtual y una subred en Azure Cloud

1. 1.  Vaya a su Página de inicio de Azure
   2.  Inicie sesión en su cuenta Azure utilizando el código que aparece a continuación a través del terminal:
      • az login
        
        
        (base) nishant.bhatia@JGWXHT4VFM ~ % az login A web browser has been opened at https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize. Please continue the login in the web browser. If no web browser is available or if the web browser fails to open, use device code flow with `az login --use-device-code`. [ { "cloudName": "AzureCloud", "homeTenantId": "897b2d61-f537-4fde-bc07-520be26839d8", "id": "2192c0ac-2205-4be3-86bf-619230e53f35", "isDefault": true, "managedByTenants": [], "name": "240 - SE EMEA", "state": "Enabled", "tenantId": "897b2d61-f537-4fde-bc07-520be26839d8", "user": { "name": "nishant.bhatia@couchbase.com", "type": "user" } }, { "cloudName": "AzureCloud", "homeTenantId": "4848c000-7611-4f22-84a4-165f8b43c829", "id": "c7416817-fbcc-44bc-aaba-95e733cef88d", "isDefault": false, "managedByTenants": [], "name": "240 - SE Test Subscription", "state": "Enabled", "tenantId": "4848c000-7611-4f22-84a4-165f8b43c829", "user": { "name": "nishant.bhatia@couchbase.com", "type": "user" } } ]

        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

        (base) nishant.bhatia@JGWXHT4VFM ~ % az login   A web browser has been opened at https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize. Please continue the login in the web browser. If no web browser is available or if the web browser fails to open, use device code flow with `az login --use-device-code`. [ {     "cloudName": "AzureCloud",     "homeTenantId": "897b2d61-f537-4fde-bc07-520be26839d8",     "id": "2192c0ac-2205-4be3-86bf-619230e53f35",     "isDefault": true,     "managedByTenants": [],     "name": "240 - SE EMEA",     "state": "Enabled",     "tenantId": "897b2d61-f537-4fde-bc07-520be26839d8",     "user": {       "name": "nishant.bhatia@couchbase.com",       "type": "user"     } }, {     "cloudName": "AzureCloud",     "homeTenantId": "4848c000-7611-4f22-84a4-165f8b43c829",     "id": "c7416817-fbcc-44bc-aaba-95e733cef88d",     "isDefault": false,     "managedByTenants": [],     "name": "240 - SE Test Subscription",     "state": "Enabled",     "tenantId": "4848c000-7611-4f22-84a4-165f8b43c829",     "user": {       "name": "nishant.bhatia@couchbase.com",       "type": "user"     }   } ]

   3. Cree un nuevo grupo de recursos en Azure. Reemplace el nombre privatelinkazure y ubicación eastus como desee.
      Nota: Esto podría hacerse a través de Azure UI, sin embargo, es mucho más limpio crear uno con Azure CLI:
      • • az group create --name privatelinkazure --location eastus
          
          
          (base) nishant.bhatia@JGWXHT4VFM ~ % az group create --name privatelinkazure --location eastus { "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure", "location": "eastus", "managedBy": null, "name": "privatelinkazure", "properties": { "provisioningState": "Succeeded" }, "tags": null, "type": "Microsoft.Resources/resourceGroups" }

          1 2 3 4 5 6 7 8 9 10 11 12 13

          (base) nishant.bhatia@JGWXHT4VFM ~ % az group create --name privatelinkazure --location eastus   {   "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure",   "location": "eastus",   "managedBy": null,   "name": "privatelinkazure",   "properties": {     "provisioningState": "Succeeded"   },   "tags": null,   "type": "Microsoft.Resources/resourceGroups" }

   4. Comprueba si se ha creado el grupo:
      • • az group list --output table
          
          
          (base) nishant.bhatia@JGWXHT4VFM ~ % az group list --output table     Name                                   Location        Status -----------------------------------------  ------------------  --------- DefaultResourceGroup-SUK                uksouth           Succeeded AaronsResources                          eastus            Succeeded RoisResourceGroup                      eastus             Succeeded MC_RoisResourceGroup_roiAKSCluster_eastus  eastus            Succeeded PythonBenchmark_group                  eastus          Succeeded NetworkWatcherRG                       eastus          Succeeded cloud-shell-storage-eastus             eastus          Succeeded myResourceGroup                        eastus          Succeeded se-ceur-sennheiser-1_group             eastus          Succeeded nishantsgroup                            eastus          Succeeded cloud-shell-storage-westus               westus          Succeeded HirschGroup                              germanywestcentral  Succeeded DefaultResourceGroup-DEWC                germanywestcentral  Succeeded privatelinkazure                         eastus          Succeeded adamclevy                                switzerlandnorth Succeeded AIshaqRG                                 uksouth         Succeeded Karthiksrgp                              uksouth         Succeeded RichardDouglas                           uksouth         Succeeded AerospikeBioCatch_group                  northeurope     Succeeded cloud-shell-storage-westeurope           westeurope      Succeeded

          1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

          (base) nishant.bhatia@JGWXHT4VFM ~ % az group list --output table       Name                                       Location            Status -----------------------------------------  ------------------  --------- DefaultResourceGroup-SUK                   uksouth             Succeeded AaronsResources                            eastus              Succeeded RoisResourceGroup                          eastus              Succeeded MC_RoisResourceGroup_roiAKSCluster_eastus  eastus              Succeeded PythonBenchmark_group                      eastus              Succeeded NetworkWatcherRG                           eastus              Succeeded cloud-shell-storage-eastus                 eastus              Succeeded myResourceGroup                            eastus              Succeeded se-ceur-sennheiser-1_group                 eastus              Succeeded nishantsgroup                              eastus              Succeeded cloud-shell-storage-westus                 westus              Succeeded HirschGroup                                germanywestcentral  Succeeded DefaultResourceGroup-DEWC                  germanywestcentral  Succeeded privatelinkazure                           eastus              Succeeded adamclevy                                  switzerlandnorth    Succeeded AIshaqRG                                   uksouth             Succeeded Karthiksrgp                                uksouth             Succeeded RichardDouglas                             uksouth             Succeeded AerospikeBioCatch_group                    northeurope         Succeeded cloud-shell-storage-westeurope             westeurope          Succeeded

   5. El siguiente paso es crear un red virtual y subred en el grupo de recursos que acabamos de crear.
      Sustituir PLVIRTUALNETWORK, Por defecto con el nombre que desee. Puede mantener la dirección a 10.0.0.0/16 y 10.0.0.0/24:
      • • az network vnet create --name PLVIRTUALNETWORK --resource-group privatelinkazure --location eastus --address-prefixes 10.0.0.0/16 --subnet-name default --subnet-prefix 10.0.0.0/24
          
          
          (base) nishant.bhatia@JGWXHT4VFM ~ % az network vnet create --name PLVIRTUALNETWORK --resource-group privatelinkazure --location eastus --address-prefixes 10.0.0.0/16 --subnet-name default --subnet-prefix 10.0.0.0/24 { "newVNet": { "addressSpace": { "addressPrefixes": [ "10.0.0.0/16" ] }, "enableDdosProtection": false, "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"", "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK", "location": "eastus", "name": "PLVIRTUALNETWORK", "provisioningState": "Succeeded", "resourceGroup": "privatelinkazure", "resourceGuid": "89b24aec-cd5a-4ca7-a92e-912b8a9c10f8", "subnets": [ { "addressPrefix": "10.0.0.0/24", "delegations": [], "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"", "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK/subnets/default", "name": "default", "privateEndpointNetworkPolicies": "Disabled", "privateLinkServiceNetworkPolicies": "Enabled", "provisioningState": "Succeeded", "resourceGroup": "privatelinkazure", "type": "Microsoft.Network/virtualNetworks/subnets" } ], "type": "Microsoft.Network/virtualNetworks", "virtualNetworkPeerings": [] } }

          1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

          (base) nishant.bhatia@JGWXHT4VFM ~ % az network vnet create --name PLVIRTUALNETWORK --resource-group privatelinkazure --location eastus --address-prefixes 10.0.0.0/16 --subnet-name default --subnet-prefix 10.0.0.0/24   {   "newVNet": {      "addressSpace": {        "addressPrefixes": [          "10.0.0.0/16"        ]    },    "enableDdosProtection": false,    "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"",    "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK",    "location": "eastus",    "name": "PLVIRTUALNETWORK",    "provisioningState": "Succeeded",    "resourceGroup": "privatelinkazure",    "resourceGuid": "89b24aec-cd5a-4ca7-a92e-912b8a9c10f8",    "subnets": [     {       "addressPrefix": "10.0.0.0/24",       "delegations": [],       "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"",       "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK/subnets/default",       "name": "default",       "privateEndpointNetworkPolicies": "Disabled",       "privateLinkServiceNetworkPolicies": "Enabled",       "provisioningState": "Succeeded",       "resourceGroup": "privatelinkazure",       "type": "Microsoft.Network/virtualNetworks/subnets"     }    ],    "type": "Microsoft.Network/virtualNetworks",    "virtualNetworkPeerings": []   } }

Parte 3: Configuración de Capella

1. 1. Iniciar sesión en Capella con su correo electrónico corporativo y sus credenciales.
   2. Dentro de su proyecto, cree una base de datos con la siguiente configuración:
      • Nube: Azure
      • Región: la misma que la región en la que creó su Grupo de Recursos y Red Virtual
      • Nombre de su elección, por ejemplo, aquí utilizamos Privatelinkdev
        
   3. Una vez que la base de datos Saludabledespliegue el viaje-muestra cubo:
      • Abre la base de datos.
      • Navegue hasta el Herramientas de datos ficha.
      • En el Importar haga clic en Importar bajo el viaje-muestra baldosa.

Parte 4: Activar Private Endpoint

1. 1. En su base de datos Capella, abra la página Configuración, vaya a Punto final privado y haga clic en Activar punto final privado.
   2. Esta acción suele tardar unos 10 minutos en habilitar Private Endpoint.
   3. Cuando esté listo, debería ver que el DNS de Private Endpoint está ahora disponible en la UI de Capella. Observe también que los puntos finales privados se facturan cada hora para los puntos finales privados de Azure para esta base de datos hasta que desactive esta opción.
   4. Haga clic en Añadir punto final privado. Añada el nombre del grupo de recursos y el nombre de la subred que hemos creado anteriormente. En este caso el grupo de recursos será privatelinkazureLa red virtual será PLVIRTUALNETWORK y el nombre de la subred será por defecto. Consulte la Parte 2 anterior.
      
   5. Descarga el script y ábrelo en Notepad++ o Sublime Text.
      
   6. Abre de nuevo el Terminal Azure donde creamos el grupo de recursos, la red virtual y la subred.
   7. Desde shell script que hemos descargado, ejecute los tres primeros comandos a partir de:
      • Crear punto final privado:
        • az network private-endpoint create -g privatelinkazure -n pl-7330b162-12a1-4695-9317-2ecae322690b --vnet-name PLVIRTUALNETWORK --subnet default --private-connection-resource-id 'pl-4e207316-42c5-4561-920e-d044dd57f771.e520e4d0-fd92-440e-9a82-eabd3562761c.eastus.azure.privatelinkservice' --connection-name pl-7330b162-12a1-4695-9317-2ecae322690b -l eastus --manual-request true

• • Crear zona DNS:
    • az network private-dns zone create -g privatelinkazure -n private-endpoint.wqdxhcxm9lcue9g.cloud.couchbase.com

• • Enlazar zona DNS:
    • az network private-dns link vnet create -g privatelinkazure -n dnslink-4e207316-42c5-4561-920e-d044dd57f771 -z private-endpoint.wqdxhcxm9lcue9g.cloud.couchbase.com -v PLVIRTUALNETWORK -e False

Parte 4: Aceptar la conexión pendiente y verificar el endpoint

1. 1. Dirígete de nuevo a la interfaz de usuario de Capella y acepta la conexión pendiente. Una vez establecida la conexión, verá un icono Enlace estado.
   2. Copie y pegue el punto final de la interfaz de Capella UI en un bloc de notas. En este caso:
      pl-7330b162-12a1-4695-9317-2ecae322690b.ef04ba0b-7b81-4404-8db2-01b3f116dfa3
   3. En el código siguiente, sustituya el punto final de la interfaz por su punto final hasta el punto "." En este caso:
      pl-7330b162-12a1-4695-9317-2ecae322690b
      • az network private-endpoint show --name pl-7330b162-12a1-4695-9317-2ecae322690b --resource-group privatelinkazure

¡Ahora has establecido una conexión privada entre tu Azure VPC y Couchbase Capella usando un Private Link!

Conclusión

Azure Private Link ofrece un método seguro y eficiente para conectarse a Couchbase Capella, asegurando que tus datos permanezcan protegidos de amenazas externas manteniendo el tráfico dentro de la red privada de Microsoft. Esta configuración elimina la exposición a la Internet pública, reduciendo así significativamente la superficie de ataque. Azure Private Link sólo proporciona comunicación unidireccional, asegurando que los datos fluyen de forma segura desde tus recursos a Couchbase Capella sin ninguna ruta inversa. Además, Azure Private Link proporciona un rendimiento de red consistente, aprovechando la red troncal global de Microsoft para ofrecer una conectividad fiable y de baja latencia. Esto hace de Azure Private Link un componente esencial para operaciones de bases de datos seguras y de alto rendimiento en la nube.

Documentación

• • Añadir una conexión Azure Private Link
  • ¿Qué es Azure Private Link?