Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Managed Instance para Apache Cassandra requiere ciertas reglas de red para administrar correctamente el servicio. Al asegurarse de que tiene expuestas las reglas adecuadas, puede mantener el servicio seguro y evitar problemas operativos.
Advertencia
Tenga cuidado al aplicar cambios en las reglas de firewall para un clúster existente. Por ejemplo, si las reglas no se aplican correctamente, es posible que no se apliquen a las conexiones existentes, por lo que podría parecer que los cambios de firewall no causaron ningún problema. Sin embargo, es posible que se produzca un error en las actualizaciones automáticas de los nodos de Azure Managed Instance para Apache Cassandra más adelante. Supervise la conectividad después de las actualizaciones principales del firewall durante algún tiempo para asegurarse de que no hay ningún problema.
Etiquetas de servicio de red virtual
Si usa una red privada virtual (VPN), no es necesario abrir ninguna otra conexión.
Si usa Azure Firewall para restringir el acceso saliente, se recomienda encarecidamente usar etiquetas de servicio de red virtual. Las etiquetas de la tabla siguiente son necesarias para que Azure SQL Managed Instance for Apache Cassandra funcione correctamente.
| Etiqueta de servicio de destino | Protocolo | Puerto | Uso |
|---|---|---|---|
Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para la comunicación y configuración del plano de control. |
AzureKeyVault |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Key Vault. Para proteger la comunicación dentro del clúster se usan certificados y claves. |
EventHub |
HTTPS | 443 | Necesario para reenviar registros a Azure. |
AzureMonitor |
HTTPS | 443 | Necesario para reenviar métricas a Azure. |
AzureActiveDirectory |
HTTPS | 443 | Obligatorio para la autenticación con Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Necesario para recopilar información sobre y administrar nodos de Cassandra (por ejemplo, reiniciar). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Necesario para las operaciones de registro. |
GuestAndHybridManagement |
HTTPS | 443 | Necesario para recopilar información sobre y administrar nodos de Cassandra (por ejemplo, reiniciar). |
ApiManagement |
HTTPS | 443 | Necesario para recopilar información sobre y administrar nodos de Cassandra (por ejemplo, reiniciar). |
Además de la tabla de etiquetas, debe agregar los siguientes prefijos de dirección porque no existe una etiqueta de servicio para el servicio pertinente:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Rutas definidas por el usuario
Si usa un firewall que no es de Microsoft para restringir el acceso saliente, se recomienda encarecidamente configurar rutas definidas por el usuario (UDR) para prefijos de dirección de Microsoft en lugar de intentar permitir la conectividad a través de su propio firewall. Para agregar los prefijos de dirección necesarios en udR, consulte el script de Bash de ejemplo.
Reglas de red obligatorias globales de Azure
En la tabla siguiente se enumeran las reglas de red necesarias y las dependencias de direcciones IP.
| Punto de conexión de destino | Protocolo | Puerto | Uso |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443Or ServiceTag - Azure Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para la comunicación y configuración del plano de control. |
*.store.core.windows.net:443O ServiceTag : Azure Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para la comunicación y configuración del plano de control. |
*.blob.core.windows.net:443O ServiceTag : Azure Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para almacenar copias de seguridad. Se está revisando la característica de copia de seguridad y el nombre del almacenamiento seguirá un patrón cuando tenga disponibilidad general. |
vmc-p-<region>.vault.azure.net:443O ServiceTag: Azure Key Vault |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Key Vault. Para proteger la comunicación dentro del clúster se usan certificados y claves. |
management.azure.com:443O ServiceTag: Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Necesario para recopilar información sobre y administrar nodos de Cassandra (por ejemplo, reiniciar). |
*.servicebus.windows.net:443O ServiceTag: Azure Event Hubs |
HTTPS | 443 | Necesario para reenviar registros a Azure. |
jarvis-west.dc.ad.msft.net:443O ServiceTag : Azure Monitor |
HTTPS | 443 | Necesario para reenviar métricas a Azure. |
login.microsoftonline.com:443O ServiceTag: Microsoft Entra ID |
HTTPS | 443 | Obligatorio para la autenticación con Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Se requiere para las actualizaciones de la definición y las firmas del analizador de seguridad de Azure. |
azure.microsoft.com |
HTTPS | 443 | Necesario para obtener información sobre los conjuntos de escalado de máquinas virtuales. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certificado para el registro. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Punto de conexión de registro necesario para el registro. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Necesario para las métricas. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Necesario para descargar o actualizar el analizador de seguridad. |
crl.microsoft.com |
HTTPS | 443 | Necesario para acceder a certificados públicos de Microsoft. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Necesario para acceder a certificados públicos de Microsoft. |
Acceso DNS
El sistema usa nombres del sistema de nombres de dominio (DNS) para llegar a los servicios de Azure descritos en este artículo para que pueda usar equilibradores de carga. Por este motivo, la red virtual debe ejecutar un servidor DNS que pueda resolver esas direcciones. Las máquinas virtuales de la red virtual respetan el servidor de nombres que se comunica a través del protocolo de configuración dinámica de host.
En la mayoría de los casos, Azure configura automáticamente un servidor DNS para la red virtual. Si esta acción no se produce en su escenario, los nombres DNS que se describen en este artículo son una buena guía para empezar.
Uso interno del puerto
Solo se puede acceder a los siguientes puertos dentro de la red virtual (o redes virtuales emparejadas o rutas rápidas). Las instancias de Azure Managed Instance para Apache Cassandra no tienen una dirección IP pública y no deben ser accesibles en Internet.
| Puerto | Uso |
|---|---|
| 8443 | Interno. |
| 9443 | Interno. |
| 7001 | Gossip: se usa para que los nodos de Cassandra se comuniquen entre sí. |
| 9042 | Cassandra: Los clientes la usan para conectarse a Cassandra. |
| 7199 | Interno. |
Contenido relacionado
En este artículo, ha aprendido acerca de las reglas de red para administrar correctamente el servicio. Obtenga más información sobre Azure SQL Managed Instance para Apache Cassandra con los siguientes artículos: