Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služba Azure Managed Instance for Apache Cassandra vyžaduje pro správnou správu služby určitá pravidla sítě. Zajištěním, že máte k dispozici správná pravidla, můžete zajistit zabezpečení služby a zabránit provozním problémům.
Upozorňující
Při použití změn pravidel brány firewall pro existující cluster buďte opatrní. Pokud se například pravidla nepoužívají správně, nemusí se použít u existujících připojení, takže se může zdát, že změny brány firewall nezpůsobily žádné problémy. Automatické aktualizace uzlů Azure Managed Instance for Apache Cassandra ale můžou selhat později. Sledujte připojení po případných hlavních aktualizacích brány firewall po určitou dobu, abyste měli jistotu, že nedošlo k žádným problémům.
Značky služeb virtuální sítě
Pokud používáte virtuální privátní síť (VPN), nemusíte otevírat žádné další připojení.
Pokud k omezení odchozího přístupu používáte Azure Firewall, důrazně doporučujeme používat značky služeb virtuální sítě. Značky v následující tabulce jsou potřeba k tomu, aby služba Azure SQL Managed Instance for Apache Cassandra správně fungovala.
| Značka cílové služby | Protokol | Přístav | Používání |
|---|---|---|---|
Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
AzureKeyVault |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru. |
EventHub |
HTTPS | 443 | Vyžadováno pro předávání protokolů do Azure. |
AzureMonitor |
HTTPS | 443 | Vyžadováno pro předávání metrik do Azure. |
AzureActiveDirectory |
HTTPS | 443 | Vyžaduje se pro ověřování Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Vyžaduje se shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Vyžaduje se pro operace protokolování. |
GuestAndHybridManagement |
HTTPS | 443 | Vyžaduje se shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
ApiManagement |
HTTPS | 443 | Vyžaduje se shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
Kromě tabulky značek musíte přidat následující předpony adres, protože značka služby pro příslušnou službu neexistuje:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Trasy definované uživatelem
Pokud k omezení odchozího přístupu používáte bránu firewall jiné společnosti než Microsoft, důrazně doporučujeme nakonfigurovat trasy definované uživatelem pro předpony adres Microsoftu místo toho, abyste se pokusili povolit připojení přes vlastní bránu firewall. Pokud chcete do tras definovaných uživatelem přidat požadované předpony adres, podívejte se na ukázkový skript Bash.
Globální pravidla sítě Azure
Následující tabulka uvádí požadovaná pravidla sítě a závislosti IP adres.
| Cílový koncový bod | Protokol | Přístav | Používání |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Nebo ServiceTag – Azure Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
*.store.core.windows.net:443
Nebo ServiceTag — Azure Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
*.blob.core.windows.net:443
Nebo ServiceTag – Azure Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro ukládání záloh. Funkce zálohování se reviduje a název úložiště se řídí obecnou dostupností. |
vmc-p-<region>.vault.azure.net:443
Nebo ServiceTag – Azure Key Vault |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru. |
management.azure.com:443
Nebo ServiceTag – Škálovací sady virtuálních počítačů Azure / rozhraní API služby Azure Management |
HTTPS | 443 | Vyžaduje se shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
*.servicebus.windows.net:443
Nebo ServiceTag – Azure Event Hubs |
HTTPS | 443 | Vyžadováno pro předávání protokolů do Azure. |
jarvis-west.dc.ad.msft.net:443
Nebo ServiceTag — Azure Monitor |
HTTPS | 443 | Vyžadováno pro předávání metrik do Azure. |
login.microsoftonline.com:443
Nebo ServiceTag – Microsoft Entra ID |
HTTPS | 443 | Vyžaduje se pro ověřování Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Vyžaduje se pro aktualizace definice a podpisů skeneru zabezpečení Azure. |
azure.microsoft.com |
HTTPS | 443 | Vyžaduje se k získání informací o škálovacích sadách virtuálních počítačů. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certifikát pro logování |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Koncový bod protokolování potřebný k protokolování |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Potřebujeme metriky. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Je potřeba stáhnout nebo aktualizovat kontrolu zabezpečení. |
crl.microsoft.com |
HTTPS | 443 | Potřeba pro přístup k veřejným certifikátům Microsoftu. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Potřeba pro přístup k veřejným certifikátům Microsoftu. |
Přístup k DNS
Systém používá názvy DNS (Domain Name System) k dosažení služeb Azure popsaných v tomto článku, aby mohl používat nástroje pro vyrovnávání zatížení. Z tohoto důvodu musí virtuální síť spustit server DNS, který dokáže tyto adresy přeložit. Virtuální počítače ve virtuální síti dodržují DNS server, který je předáván prostřednictvím protokolu DHCP.
Azure ve většině případů automaticky nastaví server DNS pro virtuální síť. Pokud tato akce ve vašem scénáři nenastane, jsou názvy DNS popsané v tomto článku dobrým průvodcem, který vám pomůže začít.
Interní využití portů
Následující porty jsou přístupné pouze ve virtuální síti (nebo v partnerských virtuálních sítích nebo expressových trasách). Instance služby Azure Managed Instance for Apache Cassandra nemají veřejnou IP adresu a neměly by být přístupné na internetu.
| Přístav | Používání |
|---|---|
| 8443 | Interní. |
| 9443 | Interní. |
| 7001 | Gossip: Používá se uzly Cassandry k vzájemné komunikaci. |
| 9042 | Cassandra: Používá se klienty pro připojení k Cassandře. |
| 7199 | Interní. |
Související obsah
V tomto článku jste se dozvěděli o pravidlech sítě pro správnou správu služby. Další informace o službě Azure SQL Managed Instance for Apache Cassandra najdete v následujících článcích: