你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
所需出站网络规则
Azure Managed Instance for Apache Cassandra 服务需要某些网络规则才能正确管理服务。 通过确保公开适当的规则,可以保持服务的安全性并防止出现操作问题。
警告
建议谨慎在对现有群集的防火墙规则应用更改。 例如,如果规则未正确应用,它们可能不会应用于现有连接,因此防火墙更改似乎没有导致任何问题。 但是,Cassandra 托管实例节点的自动更新随后可能会失败。 建议在任何主要防火墙更新一段时间后监视连接,以确保没有任何问题。
虚拟网络服务标记
提示
如果使用 VPN,则无需打开任何其他连接。
如果使用 Azure 防火墙限制出站访问,强烈建议使用虚拟网络服务标记。 表中的标记是使 Azure SQL Managed Instance for Apache Cassandra 正常运行所需的。
| 目标服务标记 | 协议 | 端口 | 用途 |
|---|---|---|---|
| 存储 | HTTPS | 443 | 对于在控制平面通信和配置的节点与 Azure 存储之间进行安全通信是必需的。 |
| AzureKeyVault | HTTPS | 443 | 对于在节点和 Azure Key Vault 之间进行安全通信是必需的。 证书和密钥用于保护群集内部的通信安全。 |
| EventHub | HTTPS | 443 | 对于将日志转发到 Azure 是必需的 |
| AzureMonitor | HTTPS | 443 | 对于向 Azure 转发指标是必需的 |
| AzureActiveDirectory | HTTPS | 443 | Microsoft Entra 身份验证需要此项。 |
| AzureResourceManager | HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
| AzureFrontDoor.Firstparty | HTTPS | 443 | 对于日志记录操作是必需的。 |
| GuestAndHybridManagement | HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
| ApiManagement | HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
注意
除了标记表外,还需要添加以下地址前缀,因为相关服务不存在服务标记:104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
用户定义路由
如果使用非 Microsoft 防火墙来限制出站访问,强烈建议为 Microsoft 地址前缀配置用户定义的路由 (UDR),而不是尝试通过自己的防火墙允许连接。 请参阅示例 bash 脚本,在用户定义的路由中添加所需的地址前缀。
Azure 全球的必需网络规则
必需的网络规则和 IP 地址依赖项如下:
| 目标终结点 | 协议 | 端口 | 使用 |
|---|---|---|---|
| snovap<region>.blob.core.windows.net:443 或 ServiceTag - Azure 存储 |
HTTPS | 443 | 对于在控制平面通信和配置的节点与 Azure 存储之间进行安全通信是必需的。 |
| *.store.core.windows.net:443 或 ServiceTag - Azure 存储 |
HTTPS | 443 | 对于在控制平面通信和配置的节点与 Azure 存储之间进行安全通信是必需的。 |
| *.blob.core.windows.net:443 或 ServiceTag - Azure 存储 |
HTTPS | 443 | 对于在节点与 Azure 存储之间进行安全通信以存储备份是必需的。 正在修订备份功能,将遵循正式发布的存储名称模式 |
| vmc-p-<region>.vault.azure.net:443 或 ServiceTag - Azure KeyVault |
HTTPS | 443 | 对于在节点和 Azure Key Vault 之间进行安全通信是必需的。 证书和密钥用于保护群集内部的通信安全。 |
| management.azure.com:443 或 ServiceTag - Azure 虚拟机规模集/Azure 管理 API |
HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
| *.servicebus.windows.net:443 或 ServiceTag - Azure EventHub |
HTTPS | 443 | 对于将日志转发到 Azure 是必需的 |
| jarvis-west.dc.ad.msft.net:443 或 ServiceTag - Azure Monitor |
HTTPS | 443 | 对于将指标转发到 Azure 是必需的 |
| login.microsoftonline.com:443 或 ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 身份验证需要此项。 |
| packages.microsoft.com | HTTPS | 443 | 对于 Azure 安全扫描程序定义和签名更新是必需的 |
| azure.microsoft.com | HTTPS | 443 | 对于获取有关虚拟机规模集的信息是必需的 |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | 用于日志记录的证书 |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 日志记录所需的日志记录终结点 |
| global.prod.microsoftmetrics.com | HTTPS | 443 | 指标所必需的 |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | 下载/更新安全扫描程序所必需的 |
| crl.microsoft.com | HTTPS | 443 | 访问公共 Microsoft 证书所必需的 |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | 访问公共 Microsoft 证书所必需的 |
DNS 访问
系统使用 DNS 名称来访问本文中所述的 Azure 服务,以便可以使用负载均衡器。 因此,虚拟网络必须运行一个可解析这些地址的 DNS 服务器。 虚拟网络中的虚拟机优先处理通过 DHCP 协议进行通信的名称服务器。 在大多数情况下,Azure 会自动为虚拟网络设置一个 DNS 服务器。 如果在你的应用场景中没有出现这种情况,则本文中所述的 DNS 名称将是一个很好的入门指南。
内部端口使用情况
只能在虚拟网络(或对等互连的 vnet./express 路由)中访问以下端口。 Azure Managed Instances for Apache Cassandra 没有公共 IP,不应通过 Internet 对它进行访问。
| 端口 | 用途 |
|---|---|
| 8443 | 内部 |
| 9443 | 内部 |
| 7001 | Gossip - 供 Cassandra 节点用于相互通信 |
| 9042 | Cassandra -供客户端用于连接到 Cassandra |
| 7199 | 内部 |
后续步骤
本文介绍了正确管理服务的网络规则。 请参阅以下文章详细了解 Azure SQL Managed Instance for Apache Cassandra: