Regras de rede de saída necessárias
A Instância Gerenciada do Azure para o serviço Apache Cassandra requer determinadas regras de rede para gerenciar corretamente o serviço. Ao garantir que você tenha as regras adequadas expostas, você pode manter seu serviço seguro e evitar problemas operacionais.
Aviso
Recomendamos ter cuidado ao aplicar alterações nas regras de firewall para um cluster existente. Por exemplo, se as regras não forem aplicadas corretamente, elas podem não ser aplicadas às conexões existentes, portanto, pode parecer que as alterações no firewall não causaram problemas. No entanto, as atualizações automáticas dos nós da Instância Gerenciada Cassandra podem falhar posteriormente. Recomendamos monitorar a conectividade após as principais atualizações do firewall por algum tempo para garantir que não haja problemas.
Etiquetas de serviço da rede virtual
Gorjeta
Se você usa VPN , então você não precisa abrir nenhuma outra conexão.
Se você estiver usando o Firewall do Azure para restringir o acesso de saída, é altamente recomendável usar tags de serviço de rede virtual. As tags na tabela são necessárias para que a Instância Gerenciada SQL do Azure para Apache Cassandra funcione corretamente.
| Etiqueta de serviço de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
| Armazenamento | HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para comunicação e configuração do Plano de Controle. |
| AzureKeyVault | HTTPS | 443 | Necessário para comunicação segura entre os nós e o Cofre da Chave do Azure. Certificados e chaves são usados para proteger a comunicação dentro do cluster. |
| EventHub | HTTPS | 443 | Necessário para encaminhar logs para o Azure |
| AzureMonitor | HTTPS | 443 | Necessário para encaminhar métricas para o Azure |
| AzureActiveDirectory | HTTPS | 443 | Necessário para autenticação do Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Necessário para coletar informações e gerenciar nós Cassandra (por exemplo, reinicialização) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Necessário para operações de registro. |
| GuestAndHybridManagement | HTTPS | 443 | Necessário para coletar informações e gerenciar nós Cassandra (por exemplo, reinicialização) |
| ApiManagement | HTTPS | 443 | Necessário para coletar informações e gerenciar nós Cassandra (por exemplo, reinicialização) |
Nota
Além da tabela de tags, você também precisará adicionar os seguintes prefixos de endereço, pois não existe uma tag de serviço para o serviço relevante: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Rotas definidas pelo utilizador
Se você estiver usando um Firewall que não seja da Microsoft para restringir o acesso de saída, é altamente recomendável configurar rotas definidas pelo usuário (UDRs) para prefixos de endereço da Microsoft, em vez de tentar permitir a conectividade por meio do seu próprio Firewall. Consulte exemplo de script bash para adicionar os prefixos de endereço necessários em rotas definidas pelo usuário.
Regras de rede necessárias do Azure Global
As regras de rede necessárias e as dependências de endereço IP são:
| Ponto de extremidade de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Or ServiceTag - Armazenamento do Azure |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para comunicação e configuração do Plano de Controle. |
| *.store.core.windows.net:443 ou ServiceTag - Armazenamento do Azure |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para comunicação e configuração do Plano de Controle. |
| *.blob.core.windows.net:443 ou ServiceTag - Armazenamento do Azure |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para armazenar backups. O recurso de backup está sendo revisado e um padrão para o nome do armazenamento é seguido pelo GA |
| vmc-p-region.vault.azure.net:443<> Ou ServiceTag - Azure KeyVault |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Cofre da Chave do Azure. Certificados e chaves são usados para proteger a comunicação dentro do cluster. |
management.azure.com:443 ou ServiceTag - Conjuntos de Dimensionamento de Máquina Virtual do Azure/API de Gerenciamento do Azure |
HTTPS | 443 | Necessário para coletar informações e gerenciar nós Cassandra (por exemplo, reinicialização) |
| *.servicebus.windows.net:443 ou ServiceTag - Azure EventHub |
HTTPS | 443 | Necessário para encaminhar logs para o Azure |
jarvis-west.dc.ad.msft.net:443 ou ServiceTag - Azure Monitor |
HTTPS | 443 | Necessário para encaminhar métricas do Azure |
login.microsoftonline.com:443 ou ServiceTag - ID do Microsoft Entra |
HTTPS | 443 | Necessário para autenticação do Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Necessário para atualizações da definição e assinaturas do verificador de segurança do Azure |
| azure.microsoft.com | HTTPS | 443 | Necessário para obter informações sobre conjuntos de dimensionamento de máquinas virtuais |
| <região-dsms.dsms.core.windows.net> | HTTPS | 443 | Certificado para registro em log |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Ponto de extremidade de registro necessário para o registro em log |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Necessário para métricas |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Necessário para baixar/atualizar o verificador de segurança |
| crl.microsoft.com | HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft |
Acesso DNS
O sistema usa nomes DNS para acessar os serviços do Azure descritos neste artigo para que possa usar balanceadores de carga. Portanto, a rede virtual deve executar um servidor DNS que possa resolver esses endereços. As máquinas virtuais na rede virtual honram o servidor de nomes que é comunicado através do protocolo DHCP. Na maioria dos casos, o Azure configura automaticamente um servidor DNS para a rede virtual. Se isso não ocorrer no seu cenário, os nomes DNS descritos neste artigo são um bom guia para começar.
Utilização da porta interna
As portas a seguir só são acessíveis dentro da rede virtual (ou vnets./rotas expressas emparelhadas). As Instâncias Gerenciadas do Azure para Apache Cassandra não têm um IP público e não devem ser disponibilizadas na Internet.
| Porta | Utilizar |
|---|---|
| 8443 | Interno |
| 9443 | Interno |
| 7001 | Fofoca - Usado por nós Cassandra para falar uns com os outros |
| 9042 | Cassandra -Usado por clientes para se conectar a Cassandra |
| 7199 | Interno |
Próximos passos
Neste artigo, você aprendeu sobre as regras de rede para gerenciar corretamente o serviço. Saiba mais sobre a Instância Gerenciada SQL do Azure para Apache Cassandra com os seguintes artigos: