Vereiste uitgaande netwerkregels
Voor de Azure Managed Instance voor Apache Cassandra-service zijn bepaalde netwerkregels vereist om de service goed te beheren. Door ervoor te zorgen dat u de juiste regels beschikbaar hebt gesteld, kunt u uw service veilig houden en operationele problemen voorkomen.
Waarschuwing
Het is raadzaam voorzichtig te zijn bij het toepassen van wijzigingen in firewallregels voor een bestaand cluster. Als regels bijvoorbeeld niet correct worden toegepast, worden deze mogelijk niet toegepast op bestaande verbindingen, zodat het kan lijken dat firewallwijzigingen geen problemen hebben veroorzaakt. Automatische updates van de Cassandra Managed Instance-knooppunten kunnen echter mislukken. We raden u aan de connectiviteit na enige tijd belangrijke firewallupdates te controleren om ervoor te zorgen dat er geen problemen zijn.
Servicetags voor virtueel netwerk
Tip
Als u VPN gebruikt, hoeft u geen andere verbinding te openen.
Als u Azure Firewall gebruikt om uitgaande toegang te beperken, raden we u ten zeerste aan servicetags voor virtuele netwerken te gebruiken. De tags in de tabel zijn vereist om Azure SQL Managed Instance voor Apache Cassandra goed te laten functioneren.
| Doelservicetag | Protocol | Port | Gebruik |
|---|---|---|---|
| Storage | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
| AzureKeyVault | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen. |
| EventHub | HTTPS | 443 | Vereist voor het doorsturen van logboeken naar Azure |
| AzureMonitor | HTTPS | 443 | Vereist voor het doorsturen van metrische gegevens naar Azure |
| AzureActiveDirectory | HTTPS | 443 | Vereist voor Microsoft Entra-verificatie. |
| AzureResourceManager | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Vereist voor logboekbewerkingen. |
| GuestAndHybridManagement | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
| ApiManagement | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
Notitie
Naast de tabel tags moet u ook de volgende adresvoorvoegsels toevoegen, omdat er geen servicetag bestaat voor de relevante service: 104.40.0.0/13 13 13.104.0.0/14 40.64.0.0/10
Door de gebruiker gedefinieerde routes
Als u een niet-Microsoft Firewall gebruikt om uitgaande toegang te beperken, raden we u ten zeerste aan door de gebruiker gedefinieerde routes (UDR's) voor Microsoft-adresvoorvoegsels te configureren in plaats van verbinding te maken via uw eigen firewall. Zie het voorbeeldscript bash om de vereiste adresvoorvoegsels toe te voegen in door de gebruiker gedefinieerde routes.
Vereiste netwerkregels voor Azure Global
De vereiste netwerkregels en IP-adresafhankelijkheden zijn:
| Doeleindpunt | Protocol | Port | Gebruik |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Or ServiceTag - Azure Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
| *.store.core.windows.net:443 Or ServiceTag - Azure Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
| *.blob.core.windows.net:443 Or ServiceTag - Azure Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor het opslaan van back-ups. De back-upfunctie wordt herzien en een patroon voor de opslagnaam volgt door algemene beschikbaarheid |
| vmc-p-region.vault.azure.net:443<> Or ServiceTag - Azure KeyVault |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen. |
management.azure.com:443 Of ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
| *.servicebus.windows.net:443 Or ServiceTag - Azure EventHub |
HTTPS | 443 | Vereist voor het doorsturen van logboeken naar Azure |
jarvis-west.dc.ad.msft.net:443 Or ServiceTag - Azure Monitor |
HTTPS | 443 | Vereist voor het doorsturen van metrische gegevens in Azure |
login.microsoftonline.com:443 Of ServiceTag - Microsoft Entra-id |
HTTPS | 443 | Vereist voor Microsoft Entra-verificatie. |
| packages.microsoft.com | HTTPS | 443 | Vereist voor updates voor azure-beveiligingsscannerdefinities en -handtekeningen |
| azure.microsoft.com | HTTPS | 443 | Vereist voor informatie over virtuele-machineschaalsets |
| <regio-dsms.dsms.core.windows.net> | HTTPS | 443 | Certificaat voor logboekregistratie |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Eindpunt voor logboekregistratie dat nodig is voor logboekregistratie |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Vereist voor metrische gegevens |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Nodig om de beveiligingsscanner te downloaden/bij te werken |
| crl.microsoft.com | HTTPS | 443 | Nodig voor toegang tot openbare Microsoft-certificaten |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Nodig voor toegang tot openbare Microsoft-certificaten |
DNS-toegang
Het systeem gebruikt DNS-namen om de Azure-services te bereiken die in dit artikel worden beschreven, zodat deze load balancers kunnen gebruiken. Daarom moet het virtuele netwerk een DNS-server uitvoeren die deze adressen kan omzetten. De virtuele machines in het virtuele netwerk respecteren de naamserver die wordt gecommuniceerd via het DHCP-protocol. In de meeste gevallen stelt Azure automatisch een DNS-server in voor het virtuele netwerk. Als dit niet gebeurt in uw scenario, zijn de DNS-namen die in dit artikel worden beschreven, een goede handleiding om aan de slag te gaan.
Intern poortgebruik
De volgende poorten zijn alleen toegankelijk binnen het virtuele netwerk (of peered vnets./express routes). Azure Managed Instances voor Apache Cassandra hebben geen openbaar IP-adres en mogen niet toegankelijk worden gemaakt op internet.
| Poort | Gebruik |
|---|---|
| 8443 | Intern |
| 9443 | Intern |
| 7001 | Gossip - Wordt gebruikt door Cassandra-knooppunten om met elkaar te praten |
| 9042 | Cassandra -gebruikt door clients om verbinding te maken met Cassandra |
| 7199 | Intern |
Volgende stappen
In dit artikel hebt u geleerd over netwerkregels om de service goed te beheren. Meer informatie over Azure SQL Managed Instance voor Apache Cassandra vindt u in de volgende artikelen: