Regole di rete in uscita necessarie
Il servizio Azure Istanza gestita per Apache Cassandra richiede determinate regole di rete per gestire correttamente il servizio. Assicurandosi di avere esposto le regole appropriate, è possibile proteggere il servizio e prevenire i problemi operativi.
Avviso
È consigliabile prestare attenzione quando si applicano modifiche alle regole del firewall per un cluster esistente. Ad esempio, se le regole non vengono applicate correttamente, potrebbero non essere applicate alle connessioni esistenti, quindi potrebbe sembrare che le modifiche del firewall non abbiano causato problemi. Tuttavia, gli aggiornamenti automatici dei nodi cassandra Istanza gestita potrebbero non riuscire. È consigliabile monitorare la connettività dopo eventuali aggiornamenti principali del firewall per un certo periodo di tempo per assicurarsi che non siano presenti problemi.
Tag del servizio di rete virtuale
Suggerimento
Se si usa una VPN, non è necessario aprire altre connessioni.
Se si usa Firewall di Azure per limitare l'accesso in uscita, è consigliabile usare i tag del servizio di rete virtuale. I tag nella tabella sono necessari per rendere Istanza gestita di SQL di Azure per il corretto funzionamento di Apache Cassandra.
| Tag del servizio di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
| Storage | HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per la comunicazione e la configurazione del piano di controllo. |
| AzureKeyVault | HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Azure Key Vault. I certificati e le chiavi vengono usati per proteggere la comunicazione all'interno del cluster. |
| EventHub | HTTPS | 443 | Obbligatorio per inoltrare i log ad Azure |
| AzureMonitor | HTTPS | 443 | Obbligatorio per inoltrare le metriche ad Azure |
| AzureActiveDirectory | HTTPS | 443 | Necessaria per l'autenticazione di Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli(ad esempio, riavviare) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Obbligatorio per le operazioni di registrazione. |
| GuestAndHybridManagement | HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli(ad esempio, riavviare) |
| Gestione API | HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli(ad esempio, riavviare) |
Nota
Oltre alla tabella dei tag, è anche necessario aggiungere i prefissi di indirizzo seguenti, poiché un tag di servizio non esiste per il servizio pertinente: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Percorsi definiti dall'utente
Se si usa un firewall non Microsoft per limitare l'accesso in uscita, è consigliabile configurare route definite dall'utente (UDR) per i prefissi degli indirizzi Microsoft, anziché tentare di consentire la connettività tramite il firewall. Vedere lo script bash di esempio per aggiungere i prefissi di indirizzo necessari nelle route definite dall'utente.
Regole di rete necessarie per Azure a livello globale
Le regole di rete e le dipendenze degli indirizzi IP necessarie sono:
| Endpoint di destinazione | Protocollo | Port | Utilizzo |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Or ServiceTag - Archiviazione di Azure |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per la comunicazione e la configurazione del piano di controllo. |
| *.store.core.windows.net:443 o ServiceTag - Archiviazione di Azure |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per la comunicazione e la configurazione del piano di controllo. |
| *.blob.core.windows.net:443 o ServiceTag - Archiviazione di Azure |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per archiviare i backup. La funzionalità di backup è in fase di revisione e un modello per il nome di archiviazione segue dalla disponibilità generale |
| vmc-p-region.vault.azure.net:443<> o ServiceTag - Azure KeyVault |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Azure Key Vault. I certificati e le chiavi vengono usati per proteggere la comunicazione all'interno del cluster. |
management.azure.com:443 o serviceTag - Azure set di scalabilità di macchine virtuali/API di gestione di Azure |
HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli(ad esempio, riavviare) |
| *.servicebus.windows.net:443 o ServiceTag - Azure EventHub |
HTTPS | 443 | Obbligatorio per inoltrare i log ad Azure |
jarvis-west.dc.ad.msft.net:443 o ServiceTag - Monitoraggio di Azure |
HTTPS | 443 | Obbligatorio per inoltrare le metriche di Azure |
login.microsoftonline.com:443 o ServiceTag - MICROSOFT Entra ID |
HTTPS | 443 | Necessaria per l'autenticazione di Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Obbligatorio per gli aggiornamenti alla definizione e alle firme dello scanner di sicurezza di Azure |
| azure.microsoft.com | HTTPS | 443 | Obbligatorio per ottenere informazioni sui set di scalabilità di macchine virtuali |
| <region-dsms.dsms.core.windows.net> | HTTPS | 443 | Certificato per la registrazione |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Endpoint di registrazione necessario per la registrazione |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Necessario per le metriche |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Necessario per scaricare/aggiornare lo scanner di sicurezza |
| crl.microsoft.com | HTTPS | 443 | Necessario per accedere ai certificati Microsoft pubblici |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Necessario per accedere ai certificati Microsoft pubblici |
Accesso DNS
Il sistema usa nomi DNS per raggiungere i servizi di Azure descritti in questo articolo in modo che possa usare i servizi di bilanciamento del carico. Pertanto, la rete virtuale deve eseguire un server DNS in grado di risolvere tali indirizzi. Le macchine virtuali nella rete virtuale rispettano il server dei nomi comunicato tramite il protocollo DHCP. Nella maggior parte dei casi, Azure configura automaticamente un server DNS per la rete virtuale. Se questo non si verifica nello scenario, i nomi DNS descritti in questo articolo sono una buona guida per iniziare.
Utilizzo interno delle porte
Le porte seguenti sono accessibili solo all'interno della rete virtuale (o vnets./expressroute con peering). Le Istanza gestita di Azure per Apache Cassandra non hanno un indirizzo IP pubblico e non devono essere rese accessibili su Internet.
| Porta | Utilizzo |
|---|---|
| 8443 | Interno |
| 9443 | Interno |
| 7001 | Gossip - Usato dai nodi Cassandra per comunicare tra loro |
| 9042 | Cassandra - Usato dai client per connettersi a Cassandra |
| 7199 | Interno |
Passaggi successivi
In questo articolo sono state illustrate le regole di rete per gestire correttamente il servizio. Altre informazioni su Istanza gestita di SQL di Azure per Apache Cassandra sono disponibili negli articoli seguenti: