Règles de trafic réseau sortant requises
Le service Azure Managed Instance pour Apache Cassandra requiert certaines règles de réseau pour gérer correctement le service. En vous assurant que les règles appropriées sont exposées, vous pouvez sécuriser votre service et prévenir les problèmes opérationnels.
Avertissement
Nous vous recommandons d’exercer une prudence lors de l’application des modifications apportées aux règles de pare-feu pour un cluster existant. Par exemple, si les règles ne sont pas appliquées correctement, elles peuvent ne pas être appliquées aux connexions existantes, de sorte qu’il peut sembler que les modifications apportées au pare-feu n’ont causé aucun problème. Toutefois, les mises à jour automatiques des nœuds Cassandra Managed Instance peuvent échouer par la suite. Nous recommandons de surveiller la connectivité après toute mise à jour importante du pare-feu pendant un certain temps afin de s’assurer qu’il n’y a pas de problème.
Balises de service du réseau virtuel
Conseil
Si vous utilisez VPN, vous n’avez pas besoin d’ouvrir une autre connexion.
Si vous utilisez le Pare-feu Azure pour limiter l’accès sortant, nous vous recommandons vivement d’utiliser des étiquettes de service de réseau virtuel. Les balises de la table sont requises pour qu’Azure SQL Managed Instance pour Apache Cassandra fonctionne correctement.
| Étiquette du service de destination | Protocole | Port | Utilisation |
|---|---|---|---|
| Stockage | HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour la communication et la configuration du plan de contrôle |
| AzureKeyVault | HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Azure Key Vault. Les certificats et les clés sont utilisés pour sécuriser la communication à l’intérieur du cluster |
| EventHub | HTTPS | 443 | Requis pour transférer des journaux vers Azure |
| AzureMonitor | HTTPS | 443 | Requis pour transférer des métriques vers Azure |
| AzureActiveDirectory | HTTPS | 443 | Obligatoire pour l’authentification Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer) |
| AzureFrontDoor.FirstParty | HTTPS | 443 | Requis pour les opérations de journalisation. |
| GuestAndHybridManagement | HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer) |
| ApiManagement | HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer) |
Remarque
Outre la table des balises, vous devez également ajouter les préfixes d’adresse suivants, car une balise de service n’existe pas pour le service approprié : 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Itinéraires définis par l’utilisateur
Si vous utilisez un pare-feu non Microsoft pour restreindre l’accès sortant, nous vous recommandons vivement de configurer itinéraires définis par l’utilisateur (UDR) pour les préfixes d’adresses Microsoft, plutôt que de tenter d’autoriser la connectivité via votre propre pare-feu. Pour voir comment ajouter les préfixes d’adresse requis dans les itinéraires définis par l’utilisateur, consultez exemple de script bash.
Règles de réseau requises pour Azure Global
Les règles de réseau et les dépendances d’adresse IP requises sont les suivantes :
| Point de terminaison de destination | Protocol | Port | Utilisation |
|---|---|---|---|
| snovap<région>.blob.core.windows.net:443 ou ÉtiquetteService – Stockage Azure |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour la communication et la configuration du plan de contrôle |
| *.store.core.windows.net:443 ou ÉtiquetteService – Stockage Azure |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour la communication et la configuration du plan de contrôle |
| *.blob.core.windows.net:443 ou ÉtiquetteService – Stockage Azure |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour stocker les sauvegardes. La fonction de sauvegarde est en cours de révision et un modèle de nom de stockage est proposé par GA |
| vmc-p-<région>.vault.azure.net:443 ou ÉtiquetteService – Azure Key Vault |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Azure Key Vault. Les certificats et les clés sont utilisés pour sécuriser la communication à l’intérieur du cluster |
| management.azure.com:443 ou ÉtiquetteService – Azure Virtual Machine Scale Sets/API Gestion Azure |
HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer) |
| *.servicebus.windows.net:443 ou ÉtiquetteService – Azure Event Hub |
HTTPS | 443 | Requis pour transférer des journaux vers Azure |
| jarvis-west.dc.ad.msft.net:443 ou ÉtiquetteService – Azure Monitor |
HTTPS | 443 | Requis pour transférer des métriques Azure |
| login.microsoftonline.com:443 ou ÉtiquetteService – Microsoft Entra ID |
HTTPS | 443 | Obligatoire pour l’authentification Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Requis pour les mises à jour des définitions et des signatures d’analyseur de la sécurité Azure |
| azure.microsoft.com | HTTPS | 443 | Requis pour obtenir des informations sur les groupes de machines virtuelles identiques |
| <région>-dsms.dsms.core.windows.net | HTTPS | 443 | Certificat pour la journalisation |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Point de terminaison de journalisation nécessaire pour la journalisation |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Nécessaire pour les métriques |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Nécessaire pour télécharger/mettre à jour le scanner de sécurité |
| crl.microsoft.com | HTTPS | 443 | Nécessaire pour accéder aux certificats Microsoft publics |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Nécessaire pour accéder aux certificats Microsoft publics |
Accès DNS
Le système utilise des noms DNS pour atteindre les services Azure décrits dans cet article afin de pouvoir utiliser des équilibreurs de charge. Par conséquent, le réseau virtuel doit exécuter un serveur DNS capable de résoudre ces adresses. Les machines virtuelles du réseau virtuel honorent le serveur de noms communiqué via le protocole DHCP. Dans la plupart des cas, Azure configure automatiquement un serveur DNS pour le réseau virtuel. Si cela ne se produit pas dans votre scénario, les noms DNS décrits dans cet article constituent un bon guide pour commencer.
Utilisation du port interne
Les ports suivants sont accessibles uniquement au sein du réseau virtuel (ou des réseaux virtuels appairés./express). Azure Managed Instances pour Apache Cassandra n’a pas d’adresse IP publique et ne doit pas être rendu accessible sur Internet.
| Port | Utilisation |
|---|---|
| 8443 | Interne |
| 9443 | Interne |
| 7001 | Gossip. Utilisé par les nœuds Cassandra pour communiquer entre eux |
| 9042 | Cassandra. Utilisé par les clients pour se connecter à Cassandra |
| 7199 | Interne |
Étapes suivantes
Dans cet article, vous avez découvert les règles de réseau pour gérer correctement le service. Pour en savoir plus sur Azure SQL Managed Instance for Apache Cassandra, consultez les articles suivants :