Reglas de red saliente necesarias
El servicio Azure Managed Instance para Apache Cassandra requiere ciertas reglas de red para administrar correctamente el servicio. Asegúrese de que tiene expuestas las reglas adecuadas para mantener el servicio seguro y evitar problemas operativos.
Advertencia
Se recomienda tener precaución al aplicar cambios en las reglas de firewall para un clúster existente. Por ejemplo, si las reglas no se aplican correctamente, es posible que no se apliquen a las conexiones existentes, por lo que puede parecer que los cambios del firewall no han causado ningún problema. Sin embargo, es posible que se produzca un error en las actualizaciones automáticas de los nodos de Cassandra Managed Instance. Se recomienda supervisar la conectividad después de las actualizaciones principales del firewall durante algún tiempo para asegurarse de que no hay ningún problema.
Etiquetas de servicio de red virtual
Sugerencia
Si usa VPN, no es necesario abrir ninguna otra conexión.
Si usa Azure Firewall para restringir el acceso saliente, se recomienda encarecidamente usar etiquetas de servicio de red virtual. Las etiquetas de la tabla son necesarias para que Azure SQL Managed Instance for Apache Cassandra funcione correctamente.
| Etiqueta de servicio de destino | Protocolo | Port | Uso |
|---|---|---|---|
| Storage | HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para la comunicación y configuración del plano de control. |
| AzureKeyVault | HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Key Vault. Para proteger la comunicación dentro del clúster se usan certificados y claves. |
| EventHub | HTTPS | 443 | Necesario para reenviar registros a Azure. |
| AzureMonitor | HTTPS | 443 | Necesario para reenviar métricas a Azure. |
| AzureActiveDirectory | HTTPS | 443 | Obligatorio para la autenticación con Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Necesario para recopilar información sobre los nodos de Cassandra y administrarlos (por ejemplo, reiniciar). |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Necesario para las operaciones de registro. |
| GuestAndHybridManagement | HTTPS | 443 | Necesario para recopilar información sobre los nodos de Cassandra y administrarlos (por ejemplo, reiniciar). |
| ApiManagement | HTTPS | 443 | Necesario para recopilar información sobre los nodos de Cassandra y administrarlos (por ejemplo, reiniciar). |
Nota:
Además de la tabla de etiquetas, también deberá agregar los siguientes prefijos de dirección, ya que no existe una etiqueta de servicio para el servicio correspondiente: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Rutas definidas por el usuario
Si usa un firewall que no es de Microsoft para restringir el acceso saliente, se recomienda encarecidamente configurar rutas definidas por el usuario (UDR) para los prefijos de dirección de Microsoft, en lugar de intentar permitir la conectividad a través de su propio firewall. Consulte script de Bash de muestra para agregar los prefijos de dirección necesarios en rutas definidas por el usuario.
Reglas de red obligatorias globales de Azure
Las reglas de red obligatorias y las dependencias de dirección IP son las siguientes:
| Punto de conexión de destino | Protocolo | Port | Uso |
|---|---|---|---|
| snovap<region>.blob.core.windows.net:443 O ServiceTag: Azure Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para la comunicación y configuración del plano de control. |
| *.store.core.windows.net:443 O ServiceTag: Azure Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para la comunicación y configuración del plano de control. |
| *.blob.core.windows.net:443 O ServiceTag: Azure Storage |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Storage, para almacenar copias de seguridad. Se está revisando la característica de copia de seguridad y el nombre del almacenamiento seguirá un patrón cuando tenga disponibilidad general |
| vmc-p-<region>.vault.azure.net:443 O ServiceTag: Azure KeyVault |
HTTPS | 443 | Necesario para proteger la comunicación entre los nodos y Azure Key Vault. Para proteger la comunicación dentro del clúster se usan certificados y claves. |
| management.azure.com:443 O ServiceTag: Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Necesario para recopilar información sobre los nodos de Cassandra y administrarlos (por ejemplo, reiniciar). |
| *.servicebus.windows.net:443 O ServiceTag: Azure EventHub |
HTTPS | 443 | Necesario para reenviar registros a Azure. |
| jarvis-west.dc.ad.msft.net:443 O ServiceTag: Azure Monitor |
HTTPS | 443 | Necesario para reenviar métricas a Azure. |
| login.microsoftonline.com:443 O ServiceTag: Microsoft Entra ID |
HTTPS | 443 | Obligatorio para la autenticación con Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Necesario para las actualizaciones de las definiciones y firmas del analizador de seguridad de Azure. |
| azure.microsoft.com | HTTPS | 443 | Necesario para obtener información sobre los conjuntos de escalado de máquinas virtuales |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Certificado para el registro |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Punto de conexión de registro necesario para el registro |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Necesario para las métricas |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Necesario para descargar o actualizar el analizador de seguridad |
| crl.microsoft.com | HTTPS | 443 | Necesario para acceder a certificados públicos de Microsoft |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Necesario para acceder a certificados públicos de Microsoft |
Acceso DNS
El sistema usa nombres DNS para acceder a los servicios de Azure que se describen en este artículo para poder usar equilibradores de carga. Por lo tanto, la red virtual debe ejecutar un servidor DNS que pueda resolver esas direcciones. Las máquinas virtuales de la red virtual respetan el servidor de nombres que se comunica mediante el protocolo DHCP. En la mayoría de los casos, Azure configura automáticamente un servidor DNS para la red virtual. Si esto no ocurre en su escenario, los nombres DNS que se describen en este artículo son una buena guía para empezar.
Uso interno del puerto
Los puertos siguientes solo son accesibles dentro de la red virtual (o redes virtuales emparejadas o ExpressRoute). Las instancias de Azure Managed Instance for Apache Cassandra no tienen una dirección IP pública y no deben ser accesibles en Internet.
| Port | Uso |
|---|---|
| 8443 | Interno |
| 9443 | Interno |
| 7001 | Gossip: se usa para que los nodos de Cassandra se comuniquen entre sí. |
| 9042 | Cassandra: se usa para que los clientes se conecten a Cassandra. |
| 7199 | Interno |
Pasos siguientes
En este artículo, ha aprendido acerca de las reglas de red para administrar correctamente el servicio. Obtenga más información sobre Azure SQL Managed Instance para Apache Cassandra con los siguientes artículos: