Sdílet prostřednictvím


Požadovaná pravidla odchozí sítě

Služba Azure Managed Instance for Apache Cassandra vyžaduje pro správnou správu služby určitá pravidla sítě. Zajištěním, že máte k dispozici správná pravidla, můžete zajistit zabezpečení služby a zabránit provozním problémům.

Upozorňující

Při použití změn pravidel brány firewall pro existující cluster doporučujeme postupovat opatrně. Pokud se například pravidla nepoužívají správně, nemusí se použít u existujících připojení, takže se může zdát, že změny brány firewall nebyly způsobeny žádnými problémy. Automatické aktualizace uzlů spravované instance Cassandra ale mohou následně selhat. Doporučujeme po nějaké době monitorovat připojení po všech hlavních aktualizacích brány firewall, abyste měli jistotu, že nedojde k žádným problémům.

Značky služeb virtuální sítě

Tip

Pokud používáte síť VPN , nemusíte otevírat žádné další připojení.

Pokud k omezení odchozího přístupu používáte Azure Firewall, důrazně doporučujeme používat značky služeb virtuální sítě. Značky v tabulce jsou potřeba k tomu, aby služba Azure SQL Managed Instance pro Apache Cassandra fungovala správně.

Značka cílové služby Protokol Port Používání
Úložiště HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny.
AzureKeyVault HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru.
Centrum událostí HTTPS 443 Vyžadováno pro předávání protokolů do Azure
AzureMonitor HTTPS 443 Vyžadováno pro přeposílání metrik do Azure
AzureActiveDirectory HTTPS 443 Vyžaduje se pro ověřování Microsoft Entra.
AzureResourceManager HTTPS 443 Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).
AzureFrontDoor.Firstparty HTTPS 443 Vyžaduje se pro operace protokolování.
GuestAndHybridManagement HTTPS 443 Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).
ApiManagement HTTPS 443 Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).

Poznámka:

Kromě tabulky značek budete také muset přidat následující předpony adres, protože značka služby neexistuje pro příslušnou službu: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10

Trasy definované uživatelem

Pokud k omezení odchozího přístupu používáte bránu firewall jiného typu než Microsoft, důrazně doporučujeme nakonfigurovat trasy definované uživatelem pro předpony adres Microsoftu a nepokoušejte se povolit připojení prostřednictvím vlastní brány firewall. Viz ukázkový skript Bash pro přidání požadovaných předpon adres do tras definovaných uživatelem.

Globální pravidla sítě Azure

Požadovaná pravidla sítě a závislosti IP adres jsou:

Cílový koncový bod Protokol Port Používání
snovap<region.blob.core.windows.net:443
> Nebo
ServiceTag – Azure Storage
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny.
*.store.core.windows.net:443
Nebo
ServiceTag – Azure Storage
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro komunikaci a konfiguraci řídicí roviny.
*.blob.core.windows.net:443
Nebo
ServiceTag – Azure Storage
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Storage pro ukládání záloh. Funkce zálohování se reviduje a název úložiště následuje podle ga.
vmc-p-region.vault.azure.net:443<>
Nebo
ServiceTag – Azure KeyVault
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a službou Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru.

management.azure.com:443 nebo
serviceTag – Škálovací sady virtuálních počítačů Azure / rozhraní API služby Azure Management
HTTPS 443 Vyžadováno ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).
*.servicebus.windows.net:443
Nebo
ServiceTag – Azure EventHub
HTTPS 443 Vyžadováno pro předávání protokolů do Azure

jarvis-west.dc.ad.msft.net:443 nebo
ServiceTag – Azure Monitor
HTTPS 443 Vyžadováno pro předávání metrik Azure

login.microsoftonline.com:443 nebo
ServiceTag – ID Microsoft Entra
HTTPS 443 Vyžaduje se pro ověřování Microsoft Entra.
packages.microsoft.com HTTPS 443 Požadováno pro aktualizace definice a podpisů skeneru zabezpečení Azure
azure.microsoft.com HTTPS 443 Vyžadováno pro získání informací o škálovacích sadách virtuálních počítačů
<dsms.dsms.core.windows.net oblastí> HTTPS 443 Certifikát pro protokolování
gcs.prod.monitoring.core.windows.net HTTPS 443 Koncový bod protokolování potřebný k protokolování
global.prod.microsoftmetrics.com HTTPS 443 Potřeba pro metriky
shavsalinuxscanpkg.blob.core.windows.net HTTPS 443 Potřeba ke stažení nebo aktualizaci skeneru zabezpečení
crl.microsoft.com HTTPS 443 Potřeba pro přístup k veřejným certifikátům Microsoftu
global-dsms.dsms.core.windows.net HTTPS 443 Potřeba pro přístup k veřejným certifikátům Microsoftu

Přístup k DNS

Systém používá názvy DNS k dosažení služeb Azure popsaných v tomto článku, aby mohl používat nástroje pro vyrovnávání zatížení. Proto musí virtuální síť spouštět server DNS, který dokáže tyto adresy přeložit. Virtuální počítače ve virtuální síti dodržují názvový server, který je komunikován prostřednictvím protokolu DHCP. Azure ve většině případů automaticky nastaví server DNS pro virtuální síť. Pokud k tomu ve vašem scénáři nedojde, jsou názvy DNS popsané v tomto článku vhodným průvodcem, který vám pomůže začít.

Interní využití portů

Následující porty jsou přístupné pouze ve virtuální síti (nebo vnets./expressroute). Azure Managed Instances for Apache Cassandra nemají veřejnou IP adresu a neměla by být přístupná na internetu.

Port Používání
8443 Interní
9443 Interní
7001 Gossip – používá uzly Cassandra k vzájemné komunikaci
9042 Cassandra – Používá se klienty pro připojení k Cassandře
7199 Interní

Další kroky

V tomto článku jste se dozvěděli o pravidlech sítě pro správnou správu služby. Další informace o službě Azure SQL Managed Instance for Apache Cassandra najdete v následujících článcích: