Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Managed Instance für Apache Cassandra erfordert bestimmte Netzwerkregeln, um den Dienst ordnungsgemäß zu verwalten. Indem Sie sicherstellen, dass Die richtigen Regeln verfügbar gemacht werden, können Sie Ihren Dienst sicher halten und betriebstechnische Probleme verhindern.
Warnung
Seien Sie vorsichtig, wenn Sie Änderungen an Firewallregeln für einen vorhandenen Cluster anwenden. Wenn z. B. Regeln nicht ordnungsgemäß angewendet werden, werden sie möglicherweise nicht auf vorhandene Verbindungen angewendet, daher kann es vorkommen, dass Firewalländerungen keine Probleme verursacht haben. Automatische Updates der azure Managed Instance für Apache Cassandra-Knoten können jedoch später fehlschlagen. Überwachen Sie die Konnektivität nach wichtigen Firewallupdates für einige Zeit, um sicherzustellen, dass keine Probleme auftreten.
Diensttags in virtuellen Netzwerken
Wenn Sie ein virtuelles privates Netzwerk (VPN) verwenden, müssen Sie keine andere Verbindung öffnen.
Wenn Sie Azure Firewall verwenden, um den ausgehenden Zugriff einzuschränken, empfehlen wir dringend, dass Sie Tags für virtuelle Netzwerkdienste verwenden. Die Tags in der folgenden Tabelle sind erforderlich, damit die azure SQL Managed Instance für Apache Cassandra ordnungsgemäß funktioniert.
| Zieldiensttag | Protokoll | Hafen | Zweck |
|---|---|---|---|
Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage für die Kommunikation und Konfiguration der Steuerungsebene. |
AzureKeyVault |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Key Vault. Zertifikate und Schlüssel werden verwendet, um die Kommunikation innerhalb des Clusters zu sichern. |
EventHub |
HTTPS | 443 | Erforderlich, um Protokolle an Azure weiterzuleiten. |
AzureMonitor |
HTTPS | 443 | Erforderlich, um Metriken an Azure weiterzuleiten. |
AzureActiveDirectory |
HTTPS | 443 | Erforderlich für die Microsoft Entra-Authentifizierung. |
AzureResourceManager |
HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Erforderlich für Protokollierungsvorgänge. |
GuestAndHybridManagement |
HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
ApiManagement |
HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
Zusätzlich zur Tags-Tabelle müssen Sie die folgenden Adresspräfixe hinzufügen, da für den relevanten Dienst kein Diensttag vorhanden ist:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Benutzerdefinierte Routen
Wenn Sie eine Nicht-Microsoft-Firewall verwenden, um den ausgehenden Zugriff einzuschränken, wird dringend empfohlen, benutzerdefinierte Routen (UDRs) für Microsoft-Adresspräfixe zu konfigurieren, anstatt die Konnektivität über Ihre eigene Firewall zuzulassen. Informationen zum Hinzufügen der erforderlichen Adresspräfixe in UDRs finden Sie im Bash-Beispielskript.
Für Azure Global benötigte Netzwerkregeln
In der folgenden Tabelle sind die erforderlichen Netzwerkregeln und IP-Adressabhängigkeiten aufgeführt.
| Zielendpunkt | Protokoll | Hafen | Zweck |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443Oder ServiceTag – Azure Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage für die Kommunikation und Konfiguration der Steuerungsebene. |
*.store.core.windows.net:443Oder ServiceTag – Azure Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage für die Kommunikation und Konfiguration der Steuerungsebene. |
*.blob.core.windows.net:443Oder ServiceTag – Azure Storage |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Storage zum Speichern von Sicherungen. Die Sicherungsfunktion wird überarbeitet und ein Muster für den Speichernamen wird im Zuge der allgemeinen Verfügbarkeit eingeführt. |
vmc-p-<region>.vault.azure.net:443Oder ServiceTag – Azure Key Vault |
HTTPS | 443 | Erforderlich für die sichere Kommunikation zwischen den Knoten und Azure Key Vault. Zertifikate und Schlüssel werden verwendet, um die Kommunikation innerhalb des Clusters zu sichern. |
management.azure.com:443Oder ServiceTag – Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Erforderlich, um Informationen zu Cassandra-Knoten zu sammeln und zu verwalten (z. B. Neustart). |
*.servicebus.windows.net:443Oder ServiceTag – Azure Event Hubs |
HTTPS | 443 | Erforderlich, um Protokolle an Azure weiterzuleiten. |
jarvis-west.dc.ad.msft.net:443Oder ServiceTag – Azure Monitor |
HTTPS | 443 | Erforderlich, um Metriken an Azure weiterzuleiten. |
login.microsoftonline.com:443Oder ServiceTag – Microsoft Entra ID |
HTTPS | 443 | Erforderlich für die Microsoft Entra-Authentifizierung. |
packages.microsoft.com |
HTTPS | 443 | Erforderlich für Updates für Azure-Sicherheitsscannerdefinitionen und -signaturen. |
azure.microsoft.com |
HTTPS | 443 | Erforderlich, um Informationen zu Skalierungssätzen für virtuelle Computer abzurufen. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Zertifikat für die Protokollierung. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Protokollierungsendpunkt, der für die Protokollierung erforderlich ist. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Erforderlich für Metriken. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Erforderlich zum Herunterladen/Aktualisieren des Sicherheitsscanners. |
crl.microsoft.com |
HTTPS | 443 | Erforderlich für den Zugriff auf öffentliche Microsoft-Zertifikate. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Erforderlich für den Zugriff auf öffentliche Microsoft-Zertifikate. |
DNS-Zugriff
Das System verwendet DNS-Namen (Domain Name System), um die in diesem Artikel beschriebenen Azure-Dienste zu erreichen, damit es Lastenausgleichsgeräte verwenden kann. Aus diesem Grund muss das virtuelle Netzwerk einen DNS-Server ausführen, der diese Adressen auflösen kann. Die virtuellen Computer im virtuellen Netzwerk berücksichtigen den Namenserver, der über das Dynamic Host Configuration Protocol kommuniziert wird.
In den meisten Fällen richtet Azure automatisch einen DNS-Server für das virtuelle Netzwerk ein. Wenn diese Aktion in Ihrem Szenario nicht auftritt, sind die in diesem Artikel beschriebenen DNS-Namen ein guter Leitfaden für die ersten Schritte.
Verwendung interner Ports
Auf die folgenden Ports kann nur innerhalb des virtuellen Netzwerks (oder verbundener virtueller Netzwerke/Express-Routen) zugegriffen werden. Instanzen von Azure Managed Instance für Apache Cassandra verfügen nicht über eine öffentliche IP und sollten nicht im Internet zugänglich gemacht werden.
| Hafen | Zweck |
|---|---|
| 8443 | Intern. |
| 9443 | Intern. |
| 7001 | Gossip: Wird von Cassandra-Knoten verwendet, um miteinander zu kommunizieren. |
| 9042 | Cassandra: Wird von Clients verwendet, um eine Verbindung mit Cassandra herzustellen. |
| 7199 | Intern. |
Verwandte Inhalte
In diesem Artikel haben Sie Netzwerkregeln zum ordnungsgemäßen Verwalten des Diensts kennen gelernt. Weitere Informationen zu Azure SQL Managed Instance for Apache Cassandra finden Sie in den folgenden Artikeln: