Wymagane reguły sieci wychodzącej
Usługa Azure Managed Instance for Apache Cassandra wymaga pewnych reguł sieciowych, aby prawidłowo zarządzać usługą. Zapewniając uwidocznienie odpowiednich reguł, możesz zapewnić bezpieczeństwo usługi i zapobiec problemom operacyjnym.
Ostrzeżenie
Zalecamy zachowanie ostrożności podczas stosowania zmian w regułach zapory dla istniejącego klastra. Jeśli na przykład reguły nie są poprawnie stosowane, mogą nie być stosowane do istniejących połączeń, więc może się wydawać, że zmiany zapory nie spowodowały żadnych problemów. Jednak automatyczne aktualizacje węzłów wystąpienia zarządzanego Cassandra mogą zakończyć się niepowodzeniem. Zalecamy monitorowanie łączności po wszelkich głównych aktualizacjach zapory przez jakiś czas, aby upewnić się, że nie ma żadnych problemów.
Tagi usługi sieci wirtualnej
Napiwek
Jeśli używasz sieci VPN , nie musisz otwierać żadnego innego połączenia.
Jeśli używasz usługi Azure Firewall do ograniczania dostępu wychodzącego, zdecydowanie zalecamy używanie tagów usługi sieci wirtualnej. Tagi w tabeli są wymagane do prawidłowego działania usługi Azure SQL Managed Instance dla bazy danych Apache Cassandra.
| Docelowy tag usługi | Protokół | Port | Używanie |
|---|---|---|---|
| Storage | HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
| AzureKeyVault | HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Key Vault. Certyfikaty i klucze służą do zabezpieczania komunikacji wewnątrz klastra. |
| EventHub | HTTPS | 443 | Wymagane do przekazywania dzienników na platformę Azure |
| AzureMonitor | HTTPS | 443 | Wymagane do przekazywania metryk na platformę Azure |
| AzureActiveDirectory | HTTPS | 443 | Wymagane do uwierzytelniania entra firmy Microsoft. |
| AzureResourceManager | HTTPS | 443 | Wymagane do zebrania informacji o węzłach cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Wymagane do operacji rejestrowania. |
| GuestAndHybridManagement | HTTPS | 443 | Wymagane do zebrania informacji o węzłach cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie) |
| ApiManagement | HTTPS | 443 | Wymagane do zebrania informacji o węzłach cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie) |
Uwaga
Oprócz tabeli tagów należy również dodać następujące prefiksy adresów, ponieważ tag usługi nie istnieje dla odpowiedniej usługi: 104.40.0.0/13 13.13.104.0.0/14 40.64.0.0/10
Trasy zdefiniowane przez użytkownika
Jeśli używasz zapory innej niż Microsoft w celu ograniczenia dostępu wychodzącego, zdecydowanie zalecamy skonfigurowanie tras zdefiniowanych przez użytkownika (UDR) dla prefiksów adresów firmy Microsoft, zamiast próbować zezwalać na łączność za pośrednictwem własnej zapory. Zobacz przykładowy skrypt powłoki bash, aby dodać wymagane prefiksy adresów w trasach zdefiniowanych przez użytkownika.
Globalne reguły sieci wymagane na platformie Azure
Wymagane reguły sieci i zależności adresów IP to:
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
| *.store.core.windows.net:443 Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
| *.blob.core.windows.net:443 lub serviceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage do przechowywania kopii zapasowych. Funkcja tworzenia kopii zapasowej jest zmieniana i wzorzec nazwy magazynu następuje po ogólnie dostępnej wersji |
| vmc-p-region.vault.azure.net:443<> Lub ServiceTag — Azure KeyVault |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Key Vault. Certyfikaty i klucze służą do zabezpieczania komunikacji wewnątrz klastra. |
management.azure.com:443 lub serviceTag — zestawy skalowania maszyn wirtualnych platformy Azure/interfejs API usługi Azure Management |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie) |
| *.servicebus.windows.net:443 Lub ServiceTag — Azure EventHub |
HTTPS | 443 | Wymagane do przekazywania dzienników na platformę Azure |
jarvis-west.dc.ad.msft.net:443 Lub ServiceTag — Azure Monitor |
HTTPS | 443 | Wymagane do przekazywania metryk platformy Azure |
login.microsoftonline.com:443 lub serviceTag — identyfikator entra firmy Microsoft |
HTTPS | 443 | Wymagane do uwierzytelniania entra firmy Microsoft. |
| packages.microsoft.com | HTTPS | 443 | Wymagane w przypadku aktualizacji definicji i podpisów skanera zabezpieczeń platformy Azure |
| azure.microsoft.com | HTTPS | 443 | Wymagane do uzyskania informacji o zestawach skalowania maszyn wirtualnych |
| <dsms.dsms.core.windows.net regionów> | HTTPS | 443 | Certyfikat do rejestrowania |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Rejestrowanie punktu końcowego wymaganego do rejestrowania |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Wymagane do metryk |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Wymagane do pobrania/zaktualizowania skanera zabezpieczeń |
| crl.microsoft.com | HTTPS | 443 | Wymagane do uzyskania dostępu do publicznych certyfikatów firmy Microsoft |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Wymagane do uzyskania dostępu do publicznych certyfikatów firmy Microsoft |
Dostęp DNS
System używa nazw DNS, aby uzyskać dostęp do usług platformy Azure opisanych w tym artykule, aby można było używać modułów równoważenia obciążenia. W związku z tym sieć wirtualna musi uruchomić serwer DNS, który może rozpoznać te adresy. Maszyny wirtualne w sieci wirtualnej uznają serwer nazw, który jest przekazywany za pośrednictwem protokołu DHCP. W większości przypadków platforma Azure automatycznie konfiguruje serwer DNS dla sieci wirtualnej. Jeśli nie wystąpi to w twoim scenariuszu, nazwy DNS opisane w tym artykule są dobrym przewodnikiem po rozpoczęciu pracy.
Użycie portów wewnętrznych
Następujące porty są dostępne tylko w sieci wirtualnej (lub równorzędnych sieciach wirtualnych/trasach ekspresowych). Wystąpienia zarządzane platformy Azure dla systemu Apache Cassandra nie mają publicznego adresu IP i nie powinny być dostępne w Internecie.
| Port | Używanie |
|---|---|
| 8443 | Wewnętrzny |
| 9443 | Wewnętrzny |
| 7001 | Plotki — używane przez węzły bazy danych Cassandra do komunikacji ze sobą |
| 9042 | Cassandra — używane przez klientów do nawiązywania połączenia z usługą Cassandra |
| 7199 | Wewnętrzny |
Następne kroki
W tym artykule przedstawiono reguły sieci w celu prawidłowego zarządzania usługą. Dowiedz się więcej o usłudze Azure SQL Managed Instance for Apache Cassandra, wykonując następujące artykuły:
- Omówienie wystąpienia zarządzanego platformy Azure dla usługi Apache Cassandra
- Zarządzanie wystąpieniem zarządzanym platformy Azure dla zasobów apache Cassandra przy użyciu interfejsu wiersza polecenia platformy Azure
- Używanie sieci VPN z wystąpieniem zarządzanym platformy Azure dla usługi Apache Cassandra