Požadovaná pravidla odchozí sítě
Služba Azure Managed Instance for Apache Cassandra vyžaduje pro správnou správu služby určitá pravidla sítě. Zajištěním, že máte k dispozici správná pravidla, můžete zajistit zabezpečení služby a zabránit provozním problémům.
Upozorňující
Při použití změn pravidel brány firewall pro existující cluster doporučujeme postupovat opatrně. Pokud se například pravidla nepoužívají správně, nemusí se použít u existujících připojení, takže se může zdát, že změny brány firewall nebyly způsobeny žádnými problémy. Automatické aktualizace uzlů spravované instance Cassandra ale mohou následně selhat. Doporučujeme po nějaké době monitorovat připojení po všech hlavních aktualizacích brány firewall, abyste měli jistotu, že nedojde k žádným problémům.
Značky služeb virtuální sítě
Tip
Pokud používáte síť VPN , nemusíte otevírat žádné další připojení.
Pokud k omezení odchozího přístupu používáte Azure Firewall, důrazně doporučujeme používat značky služeb virtuální sítě. Značky v tabulce jsou potřeba k tomu, aby služba Azure SQL Managed Instance pro Apache Cassandra fungovala správně.
| Značka cílové služby | Protokol | Port | Používání |
|---|---|---|---|
| Úložiště | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
| AzureKeyVault | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru. |
| Centrum událostí | HTTPS | 443 | Vyžadováno pro předávání protokolů do Azure |
| AzureMonitor | HTTPS | 443 | Vyžadováno pro přeposílání metrik do Azure |
| AzureActiveDirectory | HTTPS | 443 | Vyžaduje se pro ověřování Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Vyžaduje se pro operace protokolování. |
| GuestAndHybridManagement | HTTPS | 443 | Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
| ApiManagement | HTTPS | 443 | Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
Poznámka:
Kromě tabulky značek budete také muset přidat následující předpony adres, protože značka služby neexistuje pro příslušnou službu: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Trasy definované uživatelem
Pokud k omezení odchozího přístupu používáte bránu firewall jiného typu než Microsoft, důrazně doporučujeme nakonfigurovat trasy definované uživatelem pro předpony adres Microsoftu a nepokoušejte se povolit připojení prostřednictvím vlastní brány firewall. Viz ukázkový skript Bash pro přidání požadovaných předpon adres do tras definovaných uživatelem.
Globální pravidla sítě Azure
Požadovaná pravidla sítě a závislosti IP adres jsou:
| Cílový koncový bod | Protokol | Port | Používání |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Nebo ServiceTag – Azure Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
| *.store.core.windows.net:443 Nebo ServiceTag – Azure Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
| *.blob.core.windows.net:443 Nebo ServiceTag – Azure Storage |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro ukládání záloh. Funkce zálohování se reviduje a název úložiště následuje podle ga. |
| vmc-p-region.vault.azure.net:443<> Nebo ServiceTag – Azure KeyVault |
HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru. |
management.azure.com:443 nebo ServiceTag – Škálovací sady virtuálních počítačů Azure / rozhraní API pro správu Azure |
HTTPS | 443 | Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
| *.servicebus.windows.net:443 Nebo ServiceTag – Azure EventHub |
HTTPS | 443 | Vyžadováno pro předávání protokolů do Azure |
jarvis-west.dc.ad.msft.net:443 nebo ServiceTag – Azure Monitor |
HTTPS | 443 | Vyžadováno pro předávání metrik Azure |
login.microsoftonline.com:443 nebo serviceTag – Microsoft Entra ID |
HTTPS | 443 | Vyžaduje se pro ověřování Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Požadováno pro aktualizace definice a podpisů skeneru zabezpečení Azure |
| azure.microsoft.com | HTTPS | 443 | Vyžadováno pro získání informací o škálovacích sadách virtuálních počítačů |
| <dsms.dsms.core.windows.net oblastí> | HTTPS | 443 | Certifikát pro protokolování |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Koncový bod protokolování potřebný k protokolování |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Potřeba pro metriky |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Potřeba ke stažení nebo aktualizaci skeneru zabezpečení |
| crl.microsoft.com | HTTPS | 443 | Potřeba pro přístup k veřejným certifikátům Microsoftu |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Potřeba pro přístup k veřejným certifikátům Microsoftu |
Přístup k DNS
Systém používá názvy DNS k dosažení služeb Azure popsaných v tomto článku, aby mohl používat nástroje pro vyrovnávání zatížení. Proto musí virtuální síť spouštět server DNS, který dokáže tyto adresy přeložit. Virtuální počítače ve virtuální síti dodržují názvový server, který je komunikován prostřednictvím protokolu DHCP. Azure ve většině případů automaticky nastaví server DNS pro virtuální síť. Pokud k tomu ve vašem scénáři nedojde, jsou názvy DNS popsané v tomto článku vhodným průvodcem, který vám pomůže začít.
Interní využití portů
Následující porty jsou přístupné pouze ve virtuální síti (nebo vnets./expressroute). Azure Managed Instances for Apache Cassandra nemají veřejnou IP adresu a neměla by být přístupná na internetu.
| Port | Používání |
|---|---|
| 8443 | Interní |
| 9443 | Interní |
| 7001 | Gossip – používá uzly Cassandra k vzájemné komunikaci |
| 9042 | Cassandra – Používá se klienty pro připojení k Cassandře |
| 7199 | Interní |
Další kroky
V tomto článku jste se dozvěděli o pravidlech sítě pro správnou správu služby. Další informace o službě Azure SQL Managed Instance for Apache Cassandra najdete v následujících článcích: