Configurar o AWS PrivateLinks com o Couchbase Capella

O que são PrivateLinks?

O PrivateLinks é um serviço de rede que permite a conexão privada entre um serviço de nuvem e sua rede virtual. Essa conexão é feita sem expor seus dados à Internet pública, aumentando a segurança ao manter o tráfego de rede dentro da rede do provedor de nuvem. Ao utilizar o PrivateLinks, você pode garantir um acesso mais seguro e confiável aos recursos da nuvem, minimizando o risco de ameaças externas e reduzindo a latência ao manter o tráfego interno à rede do provedor de nuvem.

Os PrivateLinks facilitam a comunicação unidirecional, aumentando a segurança das conexões de rede ao garantir que o tráfego possa fluir apenas em uma única direção. Esse design ajuda a impedir o acesso não autorizado e a exfiltração de dados, solidificando ainda mais os benefícios de segurança do uso do PrivateLinks para redes em nuvem.

 Observação: XDCR não é compatível com o Private Links no momento.

1. Faça login no console de gerenciamento do AWS

• • Faça login em seu AWS Console de gerenciamento
    
  • Você deverá acessar a página a seguir:
    

2. Criar uma VPC no AWS

• • Na barra de pesquisa, digite VPC:
    
  • Você deverá acessar a página a seguir:
    
    
  • Isso deve abrir o Painel de controle da VPC:
     
    
  • Escolha sua região na barra preta do aplicativo. Neste exemplo, estamos usando: Leste dos EUA (N. Virgínia) - us-east-1
    
    
  • Clique em Criar VPC. Isso abre uma página com suas configurações de VPC.
    • Recursos para criar: Selecionar VPC e muito mais.
      
    • Geração automática de crachás: Dê um nome à sua VPC.
      
      Observação: Recomenda-se usar um nome significativo para que você possa identificar facilmente qual VPC é a sua mais tarde no laboratório. Neste exemplo, usamos links privados mas recomendamos o uso de um nome mais personalizado para seus testes.
    • Bloco CIDR IPV4: Aceitar padrão.
      
      
    • Bloco CIDR IPV6: Nenhum.
      
    • Aluguel: Padrão
      
      
    • Número de AZs: 1
      
      
    • Número de sub-redes públicas: 1
      
      
    • Número de sub-redes privadas: 0
      
      
    • Gateways NAT: 0
      
      
    • Pontos de extremidade da VPC: Gateway S3
      
      
    • Opções de DNS
      • Habilitar nomes de host DNS - Verificar
      • Habilitar resolução de DNS - Marcar
        
        
  • Verifique a visualização no lado direito da página. Quando estiver satisfeito, clique Criar VPC.
    
    

• • A VPC está sendo criada agora. Você pode ver o progresso na página a seguir.
    
    
  • Anote a ID da VPC e a ID da sub-rede. Você precisará dele mais tarde. Nesse caso:
    • ID VPC =  vpc-076a949ba49ce9ab6
    • ID da sub-rede = subnet-08245a74b801954ca

3. Criar instância do AWS EC2

• • Na barra de pesquisa, digite EC2.
    
    
  • Você deve aterrissar no Painel de controle do EC2.
    
    
  • Certifique-se de que que você está na região correta, como aquela em que criou sua VPC.
    
    
  • Clique em Iniciar instância.
    
  • Isso abrirá uma página com suas configurações do EC2.
    • Nome: Escolha o nome (por exemplo. Testador de link privado). Da mesma forma que antes, escolha um nome mais significativo.
      
      
      • Imagem do aplicativo e do sistema operacional: Amazon Linux
        
      • Tipo de instância: t2.micro (gratuito)
        
        
      • Login do par de chaves: clique em Crie um novo par de chaves.
        • Digite um nome para seu par de chaves. (por exemplo. .)
        • Clique em Criar par de chaves
          
          
        • Isso fará o download de um .pem que você deve armazenar em um local seguro.
          
          
        • Seu par de chaves agora está selecionado e disponível para reutilização na mesma região.
          
          
      • Configurações de rede
        • Clique em Editar
          
          
        • VPC: escolha a mesma VPC que você criou anteriormente. Você pode filtrar usando o nome da VPC ou a ID da VPC.
          
          
        • Sub-redeEscolha a sub-rede que você criou anteriormente. Ela deve ser selecionada automaticamente, pois você criou apenas uma sub-rede para essa VPC.
          
          
        • Atribuição automática de IP público: Ativar
          
          
        • Grupo de segurança do firewall: Criar grupo de segurança deve ser selecionado
          
          
        • Regras de grupo de segurança de entradaNo Tipo de fonte, selecione MEU IP. Isso adicionará automaticamente seu IP.
          
          
      • Configurar o armazenamento: padrão.
        
        
  • Verifique o resumo e clique em Iniciar instância.
    
  • Após alguns segundos, você verá que a instância foi iniciada com sucesso. Observe o ID da instância do EC2. Neste exemplo: i-0d78dab1f00d85746. Clique no ID da instância do EC2.

• • Você deve aterrissar no Instâncias página da região com sua instância filtrada. Clique no ID de sua instância. A página da instância deve ser a seguinte:
    

4. Instalar a ferramenta AWS CLI

• • Para usar a ferramenta AWS CLI, siga as instruções abaixo A documentação.
  • Você deve receber credenciais temporárias.

• • Para configurar a ferramenta AWS CLI, basta copiar a Opção 1, Credenciais de curto prazo para definir as variáveis de ambiente do AWS e cole-o em seu terminal. (O exemplo abaixo é um exemplo - cole suas próprias credenciais).

5. Criar um banco de dados Capella

1. • Faça login na Capella com seu e-mail corporativo e credenciais.
   • Em seu projeto, crie um banco de dados com a seguinte configuração:
     • Nuvem: AWS
     • Região: mesmo como a região em que você criou sua VPC e a instância do EC2
     • Nome de sua escolha. Aqui Desenvolvimento privado
       
       

• • • Grupos de serviçospadrão são os serviços de dados, índice, consulta e pesquisa. Adicionar o serviço de análise também, usado posteriormente no laboratório e manter a topologia como está.
      
      
    • Todas as outras configurações podem permanecer como padrão.
  • Quando o banco de dados estiver Saudável, implementar amostra de viagem balde:
    • Abra o banco de dados
    • Navegue até a seção Ferramentas de dados guia
    • No Importação página, clique em Importação sob o amostra de viagem azulejo.
      
      

B. Spágina 1

1. Ativar ponto de extremidade privado

• • Em seu banco de dados Capella, abra o arquivo Configurações navegue até a página Ponto de extremidade privado e clique Ativar ponto de extremidade privado.
    
    
  • Essa ação geralmente leva cerca de 10 minutos para ativar o Private Endpoint.
    
    
  • Quando estiver pronto, você verá que o DNS do Private Endpoint está agora disponível na interface do usuário do Capella. Observe também que os pontos de extremidade privados são cobrados por hora para os pontos de extremidade privados do AWS para esse banco de dados até que você desative essa opção.
    
    

2.  Adicionar ponto de extremidade privado

• • Clique em Adicionar ponto de extremidade privado.
    
  • Digite o ID da VPC e o ID da sub-rede da Etapa 2 da seção Pré-requisitos. Clique em Próximo.
    
    

3. Criar ponto de extremidade VPC no AWS a partir da CLI

• • Copiar o Executar comando.
    
    
  • Abra um terminal e execute o comando:
    

• • Anote VPCEndpointId (destacado) e aceite o ID do endpoint no Capella.
    
    

4. Conexão completa

• • Clique em Acabamento. Seu Endpoint está agora sendo criado e em Pendente status.
    
    
  • Após um ou dois minutos, o status deverá ser Vinculado.
    
    

C. Estágio 2

1. Ativar o DNS privado no AWS

• • Navegue até o Painel de controle da VPC, clique em Pontos finais no menu à esquerda e em seu nome de VPC. Você verá pelo menos dois pontos de extremidade:
    • O ponto de extremidade S3 criado pelo AWS
    • Um endpoint sem nome, criado pelo comando CLI
      
      
    • Abra o Endpoint não nomeado (neste caso vpce-01dfcbabe1bef175e) e do Ações com a mesma ID que a fornecida na lista de Endpoints da Interface de Ponto de Extremidade Privado Capella. Selecione Modificar o nome DNS privado.
      
      
    • Verificar Habilitar para esse ponto de extremidade e clique Salvar alterações.
      
      

2. Editar regras de entrada para o ponto de extremidade privado no AWS

• • Primeiro, vamos obter o bloco CIDR de sua VPC.
    • Clique em Suas VPCs no painel do VPC
    • Filtre pelo nome da VPC.
      
      
    • No painel principal inferior, observe o IPV4 CIDR. Deveria ser 10.0.0.0/16
      
      
    • Vamos agora obter o grupo de segurança do endpoint
      • Clique em Pontos finais no painel do VPC
      • Filtre pelo nome da VPC. Você verá pelo menos 2:
        • O ponto de extremidade S3 criado pelo AWS
        • Um endpoint sem nome, criado pelo comando CLI
          
          
      • Escolha o ponto de extremidade sem nome
      • Na parte inferior do painel, navegue até a guia Security Groups (Grupos de segurança)
        
      • Clique no botão ID do grupo Vincular e localizar Regra de entrada. Haverá uma regra de entrada que será escolhida por padrão. Clique em Editar regras de entrada.
        
      • Clique em Adicionar regra
        • Tipo: Todo o tráfego
        • Fonte: Personalizado
        • Valor de origem: VPC CIDR do Item 1) - por exemplo, 10.0.0.0/16
        • Clique em Salvar regras.
          

3. Editar a ACL de rede para o ponto de extremidade privado no AWS

• • Vamos agora acessar as ACLs de rede do painel da VPC
    • Clique em ACLs de rede em Painel de controle da VPC
    • Filtre pelo nome da VPC.
    • Haverá uma ACL de rede sem nome escolhida por padrão
    • No menu suspenso Ações, selecione Editar entrada regras
      

• • Vamos agora adicionar uma regra de entrada.
    • Clique em Adicionar nova regra.
    • Número da regra: 101
    • Tipo: Todo o tráfego
    • Fonte: o IPv4 CIDR que foi obtido nas etapas anteriores (por exemplo, 10.0.0.0/16).
    • Clique em Salvar alterações.
      
    • Vamos agora adicionar uma regra de saída.
      • No menu suspenso Ações, selecione Editar saída regras
        
        
      • Clique em Adicionar nova regra.
      • Número da regra: 101
      • Tipo:  TCP personalizado
      • Faixa de portas: 1024-65535
      • Fonte: o IPv4 CIDR que foi obtido nas etapas anteriores (por exemplo, 10.0.0.0/16).
      • Clique em Salvar alterações.
        

D. Teste o endpoint privado com um aplicativo

1. Adicionar pré-requisitos do Capella Security

• • Em seu banco de dados Capella, crie Credenciais de Banco de Dados. Exemplo: privatelinkcapella/Couchbase123$
    • Abra o Configurações página de seu banco de dados
    • No Acesso ao banco de dados página, clique em Criar Acesso ao banco de dados
    • Esse acesso deve ter Leitura + gravação privilégios em amostra de viagem balde
      
      
    • Você verá que as credenciais do banco de dados foram criadas.
      
      
• No Capella, copie o endpoint privado. Neste exemplo, ele é o3bak2eyqhmw2tq.pl.cloud.couchbase.com
  
  
• Na Capella Configurações de seu banco de dados, abra a página Certificado de segurança e faça o download do certificado.
  
  
• Você deve receber um privatelinkdev-root-certificate.txt ou similar, dependendo do nome do seu banco de dados.
  
  

2. Instale o Python em sua instância do AWS EC2

• • Vamos agora fazer o SSH na instância do EC2.
    • Navegue até o painel de controle do EC2
      
      
    •  Abra o Instâncias página
    • Filtre o nome de sua instância EC2 e selecione sua instância.
      
    • Clique em Conectar
      
      
    • Isso deve abrir um Conectar-se à instância página.
      
      
  • Vamos agora nos conectar à instância a partir do seu laptop.
    • Clique em Cliente SSH Clique em Tab e siga as instruções para garantir que sua chave privada esteja acessível em seu terminal e não possa ser visualizada publicamente.
      

• • • Localizar o ssh Exemplo na parte inferior e execute-o em seu terminal.

• • Vamos agora instalar o Python SDK na instância. Observação: a instalação a seguir é composta de 3 comandos. Certifique-se de executar cada um desses comandos separadamente em seu terminal. Cada comando também solicitará interativamente a confirmação da instalação do pacote.

• • Para a biblioteca, você também pode executar o seguinte comando.

3. Teste um aplicativo python conectado ao Capella Private Endpoint

• • Saia do ssh para voltar ao seu laptop local ou abra uma nova janela do shell

• • Renomeie o certificado .txt da Capella Security que você baixou anteriormente como privatelink-cert.pem. Substitua o nome do certificado raiz pelo seu próprio.

• • mv Downloads/privatelinkdev-root-certificate.txt privatelink-cert.pem

    1	mv Downloads/privatelinkdev-root-certificate.txt privatelink-cert.pem

  • Vamos copiar privatelink-cert.pem em sua instância do EC2. No comando abaixo:
    • Substitua o nome do certificado pelo seu próprio nome.
    • Substitua o arquivo de par de chaves pelo arquivo que você usou para criar sua VPC.
    • Substitua o nome ec2 pelo seu próprio nome (reutilize o mesmo que o fornecido no exemplo do cliente SSH).
    • Execute o comando.
      Observe que o comando scp a seguir é um comando único comando.
      

• • Copie o seguinte código python simples em seu IDE preferido.
    • Substitua o endpoint privado por aquele que você criou anteriormente
    • Substitua as credenciais pelas credenciais do banco de dados Capella que você criou anteriormente
    • Substitua o privatelink-cert.pem pelo nome do seu certificado.
    • Salve o arquivo como example.py.

• • Copiar o example.py em sua instância ec2. Da mesma forma que anteriormente, substitua o certificado pelo seu próprio, bem como o nome ec2 pelo seu próprio.

• • Faça o SSH em sua instância do EC2 novamente.
• ssh -i "NishantNVirginia.pem" ec2-user@ec2-18-212-126-71.compute-1.amazonaws.com

  1	ssh -i "NishantNVirginia.pem" ec2-user@ec2-18-212-126-71.compute-1.amazonaws.com

  • Verifique se o arquivo acme-cert.pem e o arquivo example.py estão lá.

• • Execute seu script Python. Você deverá obter o documento JSON companhia aérea_10.

4. Teste os comandos curl que se conectam ao Capella Private Endpoint

• • Ainda na instância do EC2, tente fazer uma consulta SQL++ usando as APIs REST do servidor. Substitua o endpoint privado pelo seu.

• • Ainda na instância do EC2, tente um Consulta de análise usando as APIs REST do servidor.

Agora você estabeleceu uma conexão privada entre seu AWS VPC e o Couchbase Capella usando um link privado! 

Conclusão

A implementação do AWS Private Link para o Couchbase Capella é fundamental para aumentar a segurança e a confiabilidade da sua comunicação de dados. Ao estabelecer uma conexão privada entre seu VPC e o Couchbase Capella, você isola efetivamente o tráfego da Internet pública, reduzindo o risco de exposição a possíveis ameaças. Essa abordagem garante que os dados permaneçam dentro dos limites de sua rede segura, utilizando a infraestrutura robusta do AWS para manter a baixa latência e a alta taxa de transferência. O AWS Private Link fornece apenas comunicação unidirecional, garantindo que os dados fluam com segurança de seus recursos para o Couchbase Capella sem nenhum caminho reverso. Isso torna o AWS Private Link uma solução altamente segura e eficiente para conectividade de banco de dados de nível empresarial.

Referências

• • Documentos: Adicionar uma conexão AWS PrivateLink
  • Documentos: Conecte sua VPC a serviços usando o AWS PrivateLink
  • Comece com um teste do Couchbase Capella