Requer regras de saída de rede
O serviço da Instância Gerenciada do Azure para Apache Cassandra requer determinadas regras de rede para gerenciar corretamente o serviço. Ao garantir que você tenha as regras apropriadas expostas, você mantém o serviço seguro e evita problemas operacionais.
Aviso
É recomendável ter cuidado ao aplicar alterações às regras de firewall para um cluster existente. Por exemplo, se as regras não forem aplicadas corretamente, elas poderão não ser aplicadas a conexões existentes e, portanto, pode parecer que as alterações de firewall não causaram problemas. No entanto, as atualizações automáticas dos nós da Instância Gerenciada do Cassandra podem falhar posteriormente. É recomendável monitorar a conectividade após qualquer atualização importante de firewall por algum tempo para garantir que não haja problemas.
Marcas de serviço de rede virtual
Dica
Se você usa uma VPN, não precisará abrir nenhuma outra conexão.
Se você estiver usando o Firewall do Azure para restringir o acesso de saída, é altamente recomendável usar marcas de serviço de rede virtual. As etiquetas incluídas na tabela são necessárias para fazer com que a Instância Gerenciada de SQL do Azure para Apache Cassandra funcione corretamente.
| Marca de serviço de destino | Protocolo | Porta | Use |
|---|---|---|---|
| Armazenamento | HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para a comunicação e a configuração do painel de controle. |
| AzureKeyVault | HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Azure Key Vault. Os certificados e as chaves são usados para proteger a comunicação dentro do cluster. |
| EventHub | HTTPS | 443 | Necessário para encaminhar os logs para o Azure |
| AzureMonitor | HTTPS | 443 | Necessário para encaminhar as métricas para o Azure |
| AzureActiveDirectory | HTTPS | 443 | Necessário para a autenticação do Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Necessário para coletar informações sobre e gerenciar os nós do Cassandra (por exemplo, reinicializar) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Necessário para operações de registro em log. |
| GuestAndHybridManagement | HTTPS | 443 | Necessário para coletar informações sobre e gerenciar os nós do Cassandra (por exemplo, reinicializar) |
| ApiManagement | HTTPS | 443 | Necessário para coletar informações sobre e gerenciar os nós do Cassandra (por exemplo, reinicializar) |
Observação
Além da tabela de etiquetas, você também precisará adicionar os seguintes prefixos de endereço, já que não existe uma etiqueta de serviço para o serviço correspondente: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Rotas definidas pelo usuário
Se estiver usando um Firewall que não seja da Microsoft para restringir o acesso de saída, recomendamos fortemente que você configure rotas definidas pelo usuário (UDRs) para prefixos de endereço da Microsoft, em vez de tentar permitir a conectividade por meio do seu próprio Firewall. Confira o script de bash de exemplo para adicionar os prefixos de endereço necessários nas rotas definidas pelo usuário.
Regras de rede exigidas globais do Azure
As regras de rede e as dependências de endereço IP necessárias são:
| Ponto de extremidade de destino | Protocolo | Porta | Use |
|---|---|---|---|
| snovap<region>.blob.core.windows.net:443 ou ServiceTag – Armazenamento do Microsoft Azure |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para a comunicação e a configuração do painel de controle. |
| *.store.core.windows.net:443 ou ServiceTag – Armazenamento do Microsoft Azure |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para a comunicação e a configuração do painel de controle. |
| *.blob.core.windows.net:443 ou ServiceTag - Armazenamento do Microsoft Azure |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para armazenar os backups. O recurso de backup está sendo revisado e um padrão para o nome de armazenamento estará futuramente em disponibilidade geral |
| vmc-p-<region>.vault.azure.net:443 ou ServiceTag - Azure KeyVault |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Azure Key Vault. Os certificados e as chaves são usados para proteger a comunicação dentro do cluster. |
| management.azure.com:443 ou ServiceTag – Conjuntos de Dimensionamento de Máquinas Virtuais/API de Gerenciamento do Azure |
HTTPS | 443 | Necessário para coletar informações sobre e gerenciar os nós do Cassandra (por exemplo, reinicializar) |
| *.servicebus.windows.net:443 ou ServiceTag - Azure EventHub |
HTTPS | 443 | Necessário para encaminhar os logs para o Azure |
| jarvis-west.dc.ad.msft.net:443 ou ServiceTag - Azure Monitor |
HTTPS | 443 | Necessário para encaminhar as métricas do Azure |
| login.microsoftonline.com:443 ou ServiceTag – Microsoft Entra ID |
HTTPS | 443 | Necessário para a autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Necessário para atualizações da definição e das assinaturas do scanner de segurança do Azure |
| azure.microsoft.com | HTTPS | 443 | Necessário para obter informações sobre conjuntos de dimensionar máquinas virtuais |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Certificado para registro em log |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Ponto de extremidade de log necessário para registro em log |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Necessário para métricas |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Necessário para baixar/atualizar o scanner de segurança |
| crl.microsoft.com | HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft |
Acesso DNS
O sistema usa nomes DNS para alcançar os serviços do Azure descritos neste artigo para que ele possa usar balanceadores de carga. Portanto, a rede virtual deve executar um servidor DNS que possa resolver esses endereços. As máquinas virtuais na rede virtual estão em nome do servidor que é comunicado por meio do protocolo DHCP. Na maioria dos casos, o Azure configura automaticamente um servidor DNS para a rede virtual. Se isso não ocorrer em seu cenário, os nomes DNS descritos neste artigo serão um bom guia para começar.
Uso interno da porta
As portas a seguir só podem ser acessadas dentro da rede virtual (ou nas rotas expressas/vnets com peering). As Instâncias Gerenciadas do Azure para Apache Cassandra não têm um IP público e não devem ficar acessíveis na internet.
| Porta | Use |
|---|---|
| 8443 | Interna |
| 9443 | Interna |
| 7001 | Gossip – para os nós do Cassandra se comunicarem entre si |
| 9042 | Cassandra – para os clientes se conectarem ao Cassandra |
| 7199 | Interna |
Próximas etapas
Neste artigo, você aprendeu sobre as regras de rede para gerenciar corretamente o serviço. Saiba mais sobre a Instância Gerenciada de SQL do Azure para Apache Cassandra com os seguintes artigos: