Erforderliche Netzwerkregeln für ausgehenden Datenverkehr
Der Azure Managed Instance for Apache Cassandra-Dienst erfordert bestimmte Netzwerkregeln, um den Dienst ordnungsgemäß verwalten zu können. Indem Sie sicherstellen, dass die richtigen Regeln verfügbar gemacht werden, können Sie Ihren Dienst schützen und Betriebsprobleme verhindern.
Warnung
Es wird empfohlen, beim Anwenden von Änderungen an Firewallregeln für einen vorhandenen Cluster Vorsicht zu üben. Wenn Regeln nicht ordnungsgemäß angewandt werden, werden sie beispielsweise möglicherweise nicht auf vorhandene Verbindungen angewandt, sodass es so wirkt, als hätten Firewalländerungen keine Probleme verursacht. Bei automatischen Aktualisierungen der Knoten der verwalteten Cassandra-Instanz können jedoch später Fehler auftreten. Es wird empfohlen, die Konnektivität nach wichtigen Firewallupdates für einige Zeit zu überwachen, um sicherzustellen, dass keine Probleme vorliegen.
Diensttags für virtuelle Netzwerke
Tipp
Wenn Sie VPN verwenden, brauchen Sie keine weitere Verbindung zu öffnen.
Wenn Sie Azure Firewall zum Einschränken des ausgehenden Zugriffs verwenden, empfiehlt es sich dringend, Diensttags in virtuellen Netzwerken zu verwenden. Die Tags in der Tabelle sind erforderlich, damit Azure SQL Managed Instance for Apache Cassandra ordnungsgemäß funktioniert.
| Zieldiensttag | Protocol | Port | Zweck |
|---|---|---|---|
| Storage | HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage für die Kommunikation und Konfiguration der Steuerungsebene. |
| AzureKeyVault | HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Key Vault. Zertifikate und Schlüssel werden verwendet, um die Kommunikation innerhalb des Clusters zu sichern. |
| EventHub | HTTPS | 443 | Erforderlich zum Weiterleiten von Protokollen an Azure. |
| AzureMonitor | HTTPS | 443 | Erforderlich zum Weiterleiten von Metriken an Azure. |
| AzureActiveDirectory | HTTPS | 443 | Erforderlich für die Microsoft Entra-Authentifizierung. |
| AzureResourceManager | HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Erforderlich für Protokollierungsvorgänge. |
| GuestAndHybridManagement | HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
| ApiManagement | HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
Hinweis
Zusätzlich zur Tabelle der Tags müssen Sie auch die folgenden Adresspräfixe hinzufügen, da für den entsprechenden Dienst kein Service-Tag existiert: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Benutzerdefinierte Routen
Wenn Sie eine Nicht-Microsoft-Firewall verwenden, um den ausgehenden Zugriff zu beschränken, wird dringend empfohlen, benutzerdefinierte Routen (User-Defined Routes, UDRs) für Microsoft-Adresspräfixe zu konfigurieren, anstatt zu versuchen, die Konnektivität durch Ihre eigene Firewall zu ermöglichen. Siehe Beispiel bash-Skript zum Hinzufügen der erforderlichen Adresspräfixe in benutzerdefinierte Routen.
Für Azure Global benötigte Netzwerkregeln
Folgende Netzwerkregeln und IP-Adressabhängigkeiten werden benötigt:
| Zielendpunkt | Protokoll | Port | Zweck |
|---|---|---|---|
| snovap<region>.blob.core.windows.net:443 oder ServiceTag – Azure Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage für die Kommunikation und Konfiguration der Steuerungsebene. |
| *.store.core.windows.net:443 oder ServiceTag – Azure Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage für die Kommunikation und Konfiguration der Steuerungsebene. |
| *.blob.core.windows.net:443 oder ServiceTag – Azure Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage zum Speichern von Sicherungen. Das Sicherungsfeature (Backup) wird überarbeitet, und der Speichername wird ein Muster der allgemeinen Verfügbarkeit (GA) einhalten |
| vmc-p-<region>.vault.azure.net:443 oder ServiceTag – Azure KeyVault |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Key Vault. Zertifikate und Schlüssel werden verwendet, um die Kommunikation innerhalb des Clusters zu sichern. |
| management.azure.com:443 oder ServiceTag – Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
| *.servicebus.windows.net:443 oder ServiceTag – Azure EventHub |
HTTPS | 443 | Erforderlich zum Weiterleiten von Protokollen an Azure. |
| jarvis-west.dc.ad.msft.net:443 oder ServiceTag – Azure Monitor |
HTTPS | 443 | Erforderlich zum Weiterleiten von Metriken an Azure. |
| login.microsoftonline.com:443 oder ServiceTag – Microsoft Entra ID |
HTTPS | 443 | Erforderlich für die Microsoft Entra-Authentifizierung. |
| packages.microsoft.com | HTTPS | 443 | Erforderlich für Updates der Definition und Signaturen der Azure-Sicherheitsscanner. |
| azure.microsoft.com | HTTPS | 443 | Erforderlich, um Informationen zu VM-Skalierungsgruppen abzurufen. |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Zertifikat für die Protokollierung. |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Für die Protokollierung erforderlicher Protokollierungsendpunkt. |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Erforderlich für Metriken. |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Erforderlich zum Herunterladen/Aktualisieren der Sicherheitsscanner. |
| crl.microsoft.com | HTTPS | 443 | Erforderlich für den Zugriff auf öffentliche Microsoft-Zertifikate. |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Erforderlich für den Zugriff auf öffentliche Microsoft-Zertifikate. |
DNS-Zugriff
Das System verwendet DNS-Namen, um die in diesem Artikel beschriebenen Azure-Dienste zu erreichen, sodass es Lastenausgleiche verwenden kann. Daher muss das virtuelle Netzwerk einen DNS-Server ausführen, der diese Adressen auflösen kann. Die virtuellen Computer im virtuellen Netzwerk beachten den Namensserver, der über das DHCP-Protokoll mitgeteilt wird. In den meisten Fällen richtet Azure automatisch einen DNS-Server für das virtuelle Netzwerk ein. Wenn dies in Ihrem Szenario nicht der Fall ist, sind die in diesem Artikel beschriebenen DNS-Namen ein guter Leitfaden für die ersten Schritte.
Verwendung interner Ports
Auf die folgenden Ports kann nur innerhalb des virtuellen Netzwerks (oder gepeerte vnets./ExpressRoutes) zugegriffen werden. Azure Managed Instances für Apache Cassandra haben keine öffentliche IP und sollten nicht über das Internet zugänglich gemacht werden.
| Port | Zweck |
|---|---|
| 8443 | Intern |
| 9443 | Intern |
| 7001 | Gossip: Wird von Cassandra-Knoten für die gegenseitige Kommunikation verwendet. |
| 9042 | Cassandra: Wird von Clients für Verbindungen mit Cassandra verwendet. |
| 7199 | Intern |
Nächste Schritte
In diesem Artikel haben Sie Netzwerkregeln zum ordnungsgemäßen Verwalten des Diensts kennen gelernt. Weitere Informationen zu Azure SQL Managed Instance for Apache Cassandra finden Sie in den folgenden Artikeln: