Configuração do Azure PrivateLink com o Couchbase Capella

O que são PrivateLinks?

O PrivateLinks é um serviço de rede que permite a conexão privada entre um serviço de nuvem e sua rede virtual. Essa conexão é feita sem expor seus dados à Internet pública, aumentando a segurança ao manter o tráfego de rede dentro da rede do provedor de nuvem. Ao utilizar o PrivateLinks, você pode garantir um acesso mais seguro e confiável aos recursos da nuvem, minimizando o risco de ameaças externas e reduzindo a latência ao manter o tráfego interno à rede do provedor de nuvem.

Os PrivateLinks facilitam a comunicação unidirecional, aumentando a segurança das conexões de rede ao garantir que o tráfego possa fluir apenas em uma única direção. Esse design ajuda a impedir o acesso não autorizado e a exfiltração de dados, solidificando ainda mais os benefícios de segurança do uso do PrivateLinks para redes em nuvem.

Observação: No momento, o XDCR não é compatível com o PrivateLinks.

Parte 1 - Instalação da CLI do Azure

1. 1. Abra um terminal e instalar a CLI do Azure usando os comandos neste link para Mac e Windows:
      • brew update && brew install azure-cli # comando para MacOS

Parte 2 - Criando um grupo de recursos, uma rede virtual e uma sub-rede na nuvem do Azure

1. 1.  Vá para sua Página inicial do Azure
   2.  Faça login na sua conta do Azure usando o código abaixo por meio do terminal:
      • login az
        
        
        (base) nishant.bhatia@JGWXHT4VFM ~ % az login A web browser has been opened at https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize. Please continue the login in the web browser. If no web browser is available or if the web browser fails to open, use device code flow with `az login --use-device-code`. [ { "cloudName": "AzureCloud", "homeTenantId": "897b2d61-f537-4fde-bc07-520be26839d8", "id": "2192c0ac-2205-4be3-86bf-619230e53f35", "isDefault": true, "managedByTenants": [], "name": "240 - SE EMEA", "state": "Enabled", "tenantId": "897b2d61-f537-4fde-bc07-520be26839d8", "user": { "name": "nishant.bhatia@couchbase.com", "type": "user" } }, { "cloudName": "AzureCloud", "homeTenantId": "4848c000-7611-4f22-84a4-165f8b43c829", "id": "c7416817-fbcc-44bc-aaba-95e733cef88d", "isDefault": false, "managedByTenants": [], "name": "240 - SE Test Subscription", "state": "Enabled", "tenantId": "4848c000-7611-4f22-84a4-165f8b43c829", "user": { "name": "nishant.bhatia@couchbase.com", "type": "user" } } ]

        1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

        (base) nishant.bhatia@JGWXHT4VFM ~ % az login   A web browser has been opened at https://login.microsoftonline.com/organizations/oauth2/v2.0/authorize. Please continue the login in the web browser. If no web browser is available or if the web browser fails to open, use device code flow with `az login --use-device-code`. [ {     "cloudName": "AzureCloud",     "homeTenantId": "897b2d61-f537-4fde-bc07-520be26839d8",     "id": "2192c0ac-2205-4be3-86bf-619230e53f35",     "isDefault": true,     "managedByTenants": [],     "name": "240 - SE EMEA",     "state": "Enabled",     "tenantId": "897b2d61-f537-4fde-bc07-520be26839d8",     "user": {       "name": "nishant.bhatia@couchbase.com",       "type": "user"     } }, {     "cloudName": "AzureCloud",     "homeTenantId": "4848c000-7611-4f22-84a4-165f8b43c829",     "id": "c7416817-fbcc-44bc-aaba-95e733cef88d",     "isDefault": false,     "managedByTenants": [],     "name": "240 - SE Test Subscription",     "state": "Enabled",     "tenantId": "4848c000-7611-4f22-84a4-165f8b43c829",     "user": {       "name": "nishant.bhatia@couchbase.com",       "type": "user"     }   } ]

   3. Crie um novo grupo de recursos no Azure. Substitua o nome conexão privada e localização leste conforme desejado.
      Observação: isso pode ser feito por meio da interface do usuário do Azure; no entanto, é muito mais simples criar um com a CLI do Azure:
      • • az group create --name privatelinkazure --location eastus
          
          
          (base) nishant.bhatia@JGWXHT4VFM ~ % az group create --name privatelinkazure --location eastus { "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure", "location": "eastus", "managedBy": null, "name": "privatelinkazure", "properties": { "provisioningState": "Succeeded" }, "tags": null, "type": "Microsoft.Resources/resourceGroups" }

          1 2 3 4 5 6 7 8 9 10 11 12 13

          (base) nishant.bhatia@JGWXHT4VFM ~ % az group create --name privatelinkazure --location eastus   {   "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure",   "location": "eastus",   "managedBy": null,   "name": "privatelinkazure",   "properties": {     "provisioningState": "Succeeded"   },   "tags": null,   "type": "Microsoft.Resources/resourceGroups" }

   4. Verifique se o grupo foi criado:
      • • az group list --output table
          
          
          (base) nishant.bhatia@JGWXHT4VFM ~ % az group list --output table     Name                                   Location        Status -----------------------------------------  ------------------  --------- DefaultResourceGroup-SUK                uksouth           Succeeded AaronsResources                          eastus            Succeeded RoisResourceGroup                      eastus             Succeeded MC_RoisResourceGroup_roiAKSCluster_eastus  eastus            Succeeded PythonBenchmark_group                  eastus          Succeeded NetworkWatcherRG                       eastus          Succeeded cloud-shell-storage-eastus             eastus          Succeeded myResourceGroup                        eastus          Succeeded se-ceur-sennheiser-1_group             eastus          Succeeded nishantsgroup                            eastus          Succeeded cloud-shell-storage-westus               westus          Succeeded HirschGroup                              germanywestcentral  Succeeded DefaultResourceGroup-DEWC                germanywestcentral  Succeeded privatelinkazure                         eastus          Succeeded adamclevy                                switzerlandnorth Succeeded AIshaqRG                                 uksouth         Succeeded Karthiksrgp                              uksouth         Succeeded RichardDouglas                           uksouth         Succeeded AerospikeBioCatch_group                  northeurope     Succeeded cloud-shell-storage-westeurope           westeurope      Succeeded

          1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

          (base) nishant.bhatia@JGWXHT4VFM ~ % az group list --output table       Name                                       Location            Status -----------------------------------------  ------------------  --------- DefaultResourceGroup-SUK                   uksouth             Succeeded AaronsResources                            eastus              Succeeded RoisResourceGroup                          eastus              Succeeded MC_RoisResourceGroup_roiAKSCluster_eastus  eastus              Succeeded PythonBenchmark_group                      eastus              Succeeded NetworkWatcherRG                           eastus              Succeeded cloud-shell-storage-eastus                 eastus              Succeeded myResourceGroup                            eastus              Succeeded se-ceur-sennheiser-1_group                 eastus              Succeeded nishantsgroup                              eastus              Succeeded cloud-shell-storage-westus                 westus              Succeeded HirschGroup                                germanywestcentral  Succeeded DefaultResourceGroup-DEWC                  germanywestcentral  Succeeded privatelinkazure                           eastus              Succeeded adamclevy                                  switzerlandnorth    Succeeded AIshaqRG                                   uksouth             Succeeded Karthiksrgp                                uksouth             Succeeded RichardDouglas                             uksouth             Succeeded AerospikeBioCatch_group                    northeurope         Succeeded cloud-shell-storage-westeurope             westeurope          Succeeded

   5. A próxima etapa é criar um rede virtual e sub-rede no grupo de recursos que acabamos de criar.
      Substituir REDE VIRTUAL, Padrão com o nome desejado. Você pode manter o endereço para 10.0.0.0/16 e 10.0.0.0/24:
      • • az network vnet create --name PLVIRTUALNETWORK --resource-group privatelinkazure --location eastus --address-prefixes 10.0.0.0/16 --subnet-name default --subnet-prefix 10.0.0.0/24
          
          
          (base) nishant.bhatia@JGWXHT4VFM ~ % az network vnet create --name PLVIRTUALNETWORK --resource-group privatelinkazure --location eastus --address-prefixes 10.0.0.0/16 --subnet-name default --subnet-prefix 10.0.0.0/24 { "newVNet": { "addressSpace": { "addressPrefixes": [ "10.0.0.0/16" ] }, "enableDdosProtection": false, "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"", "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK", "location": "eastus", "name": "PLVIRTUALNETWORK", "provisioningState": "Succeeded", "resourceGroup": "privatelinkazure", "resourceGuid": "89b24aec-cd5a-4ca7-a92e-912b8a9c10f8", "subnets": [ { "addressPrefix": "10.0.0.0/24", "delegations": [], "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"", "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK/subnets/default", "name": "default", "privateEndpointNetworkPolicies": "Disabled", "privateLinkServiceNetworkPolicies": "Enabled", "provisioningState": "Succeeded", "resourceGroup": "privatelinkazure", "type": "Microsoft.Network/virtualNetworks/subnets" } ], "type": "Microsoft.Network/virtualNetworks", "virtualNetworkPeerings": [] } }

          1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

          (base) nishant.bhatia@JGWXHT4VFM ~ % az network vnet create --name PLVIRTUALNETWORK --resource-group privatelinkazure --location eastus --address-prefixes 10.0.0.0/16 --subnet-name default --subnet-prefix 10.0.0.0/24   {   "newVNet": {      "addressSpace": {        "addressPrefixes": [          "10.0.0.0/16"        ]    },    "enableDdosProtection": false,    "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"",    "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK",    "location": "eastus",    "name": "PLVIRTUALNETWORK",    "provisioningState": "Succeeded",    "resourceGroup": "privatelinkazure",    "resourceGuid": "89b24aec-cd5a-4ca7-a92e-912b8a9c10f8",    "subnets": [     {       "addressPrefix": "10.0.0.0/24",       "delegations": [],       "etag": "W/\"41972493-3e9e-4dd1-88ac-6bab0fe2e9e6\"",       "id": "/subscriptions/2192c0ac-2205-4be3-86bf-619230e53f35/resourceGroups/privatelinkazure/providers/Microsoft.Network/virtualNetworks/PLVIRTUALNETWORK/subnets/default",       "name": "default",       "privateEndpointNetworkPolicies": "Disabled",       "privateLinkServiceNetworkPolicies": "Enabled",       "provisioningState": "Succeeded",       "resourceGroup": "privatelinkazure",       "type": "Microsoft.Network/virtualNetworks/subnets"     }    ],    "type": "Microsoft.Network/virtualNetworks",    "virtualNetworkPeerings": []   } }

Parte 3: Configuração do Capella

1. 1. Faça login na Capella com seu e-mail corporativo e credenciais.
   2. Em seu projeto, crie um banco de dados com a seguinte configuração:
      • Nuvem: Azure
      • Região: igual à região em que você criou seu Grupo de Recursos e Rede Virtual
      • Nome de sua escolha, por exemplo, aqui usamos Desenvolvimento privado
        
   3. Quando o banco de dados estiver Saudável, implantar o amostra de viagem balde:
      • Abra o banco de dados.
      • Navegue até a seção Ferramentas de dados guia.
      • No Importação página, clique em Importação sob o amostra de viagem azulejo.

Parte 4: Ativar o ponto de extremidade privado

1. 1. Em seu banco de dados Capella, abra a página Settings (Configurações), navegue até Ponto de extremidade privado e clique em Ativar ponto de extremidade privado.
   2. Essa ação geralmente leva cerca de 10 minutos para ativar o Private Endpoint.
   3. Quando estiver pronto, você verá que o DNS do Ponto de extremidade privado agora está disponível na interface do usuário do Capella. Observe também que os pontos de extremidade privados são cobrados por hora pelos pontos de extremidade privados do Azure para esse banco de dados até que você desative essa opção.
   4. Clique em Adicionar ponto de extremidade privado. Adicione o nome do grupo de recursos e o nome da sub-rede que criamos anteriormente. Nesse caso, o grupo de recursos será conexão privadaA rede virtual será REDE VIRTUAL e o nome da sub-rede será padrão. Consulte a Parte 2 acima.
      
   5. Faça o download do script e abra-o no Notepad++ ou no Sublime Text.
      
   6. Abra o Terminal do Azure novamente, onde criamos o grupo de recursos, a rede virtual e a sub-rede.
   7. No script de shell que baixamos, execute os três primeiros comandos a partir de:
      • Crie um ponto de extremidade privado:
        • az network private-endpoint create -g privatelinkazure -n pl-7330b162-12a1-4695-9317-2ecae322690b --vnet-name PLVIRTUALNETWORK --subnet default --private-connection-resource-id 'pl-4e207316-42c5-4561-920e-d044dd57f771.e520e4d0-fd92-440e-9a82-eabd3562761c.eastus.azure.privatelinkservice' --connection-name pl-7330b162-12a1-4695-9317-2ecae322690b -l eastus --manual-request true

• • Criar zona DNS:
    • az network private-dns zone create -g privatelinkazure -n private-endpoint.wqdxhcxm9lcue9g.cloud.couchbase.com

• • Link da zona DNS:
    • az network private-dns link vnet create -g privatelinkazure -n dnslink-4e207316-42c5-4561-920e-d044dd57f771 -z private-endpoint.wqdxhcxm9lcue9g.cloud.couchbase.com -v PLVIRTUALNETWORK -e False

Parte 4: Aceitar conexão pendente e verificar o ponto de extremidade

1. 1. Vá para a interface do usuário do Capella novamente e aceite a conexão pendente. Depois que a conexão for estabelecida, você verá uma mensagem Vinculado status.
   2. Copie e cole o endpoint da interface da Capella UI em um bloco de notas. Nesse caso:
      pl-7330b162-12a1-4695-9317-2ecae322690b.ef04ba0b-7b81-4404-8db2-01b3f116dfa3
   3. No código abaixo, substitua o endpoint da interface pelo seu endpoint até o ponto "." Nesse caso:
      pl-7330b162-12a1-4695-9317-2ecae322690b
      • az network private-endpoint show --name pl-7330b162-12a1-4695-9317-2ecae322690b --resource-group privatelinkazure

Agora você estabeleceu uma conexão privada entre o Azure VPC e o Couchbase Capella usando um link privado!

Conclusão

O Azure Private Link oferece um método seguro e eficiente de conexão com o Couchbase Capella, garantindo que seus dados permaneçam protegidos contra ameaças externas ao manter o tráfego dentro da rede privada da Microsoft. Essa configuração elimina a exposição à Internet pública, reduzindo significativamente a superfície de ataque. O Azure Private Link fornece apenas comunicação unidirecional, garantindo que os dados fluam com segurança de seus recursos para o Couchbase Capella sem nenhum caminho reverso. Além disso, o Azure Private Link oferece desempenho de rede consistente, aproveitando a rede de backbone global da Microsoft para fornecer conectividade confiável e de baixa latência. Isso torna o Azure Private Link um componente essencial para operações de banco de dados seguras e de alto desempenho na nuvem.

Documentação

• • Adicionar uma conexão de link privado do Azure
  • O que é o Link Privado do Azure?