Kötelező kimenő hálózati szabályok
Az Apache Cassandra azure-beli felügyelt példányához bizonyos hálózati szabályok szükségesek a szolgáltatás megfelelő kezeléséhez. A megfelelő szabályok biztosításával biztonságban tarthatja szolgáltatását, és megelőzheti a működési problémákat.
Figyelmeztetés
Javasoljuk, hogy körültekintően alkalmazza a meglévő fürtök tűzfalszabályainak módosításait. Ha például a szabályok nem megfelelően vannak alkalmazva, előfordulhat, hogy a rendszer nem alkalmazza őket a meglévő kapcsolatokra, ezért úgy tűnhet, hogy a tűzfalmódosítások nem okoztak problémát. A Cassandra felügyelt példány csomópontjainak automatikus frissítése azonban később meghiúsulhat. Javasoljuk, hogy a nagyobb tűzfalfrissítések után egy ideig monitorozza a kapcsolatot, hogy biztosan ne legyen probléma.
Virtuális hálózati szolgáltatáscímkék
Tipp.
Ha VPN-t használ, akkor nem kell más kapcsolatot megnyitnia.
Ha az Azure Firewall használatával korlátozza a kimenő hozzáférést, javasoljuk, hogy használjon virtuális hálózati szolgáltatáscímkéket. A táblában szereplő címkék szükségesek ahhoz, hogy az Azure SQL Managed Instance for Apache Cassandra megfelelően működjön.
| Célszolgáltatás címkéje | Protokoll | Kikötő | Használat |
|---|---|---|---|
| Tárolás | HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a vezérlősíkok közötti kommunikációhoz és konfiguráláshoz. |
| AzureKeyVault | HTTPS | 443 | A csomópontok és az Azure Key Vault közötti biztonságos kommunikációhoz szükséges. A tanúsítványokkal és kulcsokkal biztonságossá teheti a fürtön belüli kommunikációt. |
| EventHub | HTTPS | 443 | Naplók azure-ba való továbbításához szükséges |
| AzureMonitor | HTTPS | 443 | Metrikák az Azure-ba való továbbításához szükséges |
| AzureActiveDirectory | HTTPS | 443 | A Microsoft Entra-hitelesítéshez szükséges. |
| AzureResourceManager | HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Naplózási műveletekhez szükséges. |
| GuestAndHybridManagement | HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás) |
| ApiManagement | HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás) |
Feljegyzés
A címkék táblán kívül a következő címelőtagokat is hozzá kell adnia, mivel a megfelelő szolgáltatáshoz nem létezik szolgáltatáscímke: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Felhasználó által megadott útvonalak
Ha nem Microsoft-tűzfallal korlátozza a kimenő hozzáférést, javasoljuk, hogy a saját tűzfalon keresztüli kapcsolódás engedélyezése helyett konfigurálja a felhasználó által megadott útvonalakat (UDR-eket) a Microsoft címelőtagjaihoz. A felhasználó által definiált útvonalakhoz a szükséges címelőtagok hozzáadásához tekintse meg a bash-példaszkriptet.
Az Azure Globalhoz szükséges hálózati szabályok
A szükséges hálózati szabályok és IP-címfüggőségek a következők:
| Célvégpont | Protokoll | Kikötő | Használat |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Or ServiceTag – Azure Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a vezérlősíkok közötti kommunikációhoz és konfiguráláshoz. |
| *.store.core.windows.net:443 Vagy ServiceTag – Azure Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a vezérlősíkok közötti kommunikációhoz és konfiguráláshoz. |
| *.blob.core.windows.net:443 Vagy ServiceTag – Azure Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a biztonsági másolatok tárolásához. A biztonsági mentési funkció módosítása folyamatban van, és a tárnév mintáját a ga követi |
| vmc-p-region.vault.azure.net:443<> Vagy ServiceTag – Azure KeyVault |
HTTPS | 443 | A csomópontok és az Azure Key Vault közötti biztonságos kommunikációhoz szükséges. A tanúsítványokkal és kulcsokkal biztonságossá teheti a fürtön belüli kommunikációt. |
management.azure.com:443 Vagy ServiceTag – Azure-beli virtuálisgép-méretezési csoportok/Azure Management API |
HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás) |
| *.servicebus.windows.net:443 Vagy ServiceTag – Azure EventHub |
HTTPS | 443 | Naplók azure-ba való továbbításához szükséges |
jarvis-west.dc.ad.msft.net:443 Vagy ServiceTag – Azure Monitor |
HTTPS | 443 | Az Azure-beli metrikák továbbításához szükséges |
login.microsoftonline.com:443 Vagy ServiceTag – Microsoft Entra-azonosító |
HTTPS | 443 | A Microsoft Entra-hitelesítéshez szükséges. |
| packages.microsoft.com | HTTPS | 443 | Az Azure biztonsági szkenner definíciójának és aláírásainak frissítéséhez szükséges |
| azure.microsoft.com | HTTPS | 443 | A virtuálisgép-méretezési csoportokkal kapcsolatos információk lekéréséhez szükséges |
| <régió-dsms.dsms.core.windows.net> | HTTPS | 443 | Tanúsítvány naplózáshoz |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Naplózáshoz szükséges naplózási végpont |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Metrikákhoz szükséges |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Biztonsági ellenőrző letöltéséhez/frissítéséhez szükséges |
| crl.microsoft.com | HTTPS | 443 | Nyilvános Microsoft-tanúsítványok eléréséhez szükséges |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Nyilvános Microsoft-tanúsítványok eléréséhez szükséges |
DNS-hozzáférés
A rendszer DNS-neveket használ a cikkben ismertetett Azure-szolgáltatások eléréséhez, hogy terheléselosztókat használjon. Ezért a virtuális hálózatnak olyan DNS-kiszolgálót kell futtatnia, amely képes feloldani ezeket a címeket. A virtuális hálózat virtuális gépei tisztelik a DHCP protokollon keresztül kommunikáló névkiszolgálót. A legtöbb esetben az Azure automatikusan beállít egy DNS-kiszolgálót a virtuális hálózathoz. Ha ez nem történik meg a forgatókönyvben, a cikkben ismertetett DNS-nevek jó útmutatók az első lépésekhez.
Belső porthasználat
A következő portok csak a virtuális hálózaton (vagy társhálózatokon./express útvonalakon) érhetők el. Az Apache Cassandra azure-beli felügyelt példányai nem rendelkeznek nyilvános IP-címekkel, és nem tehetők elérhetővé az interneten.
| Kikötő | Használat |
|---|---|
| 8443 | Belső |
| 9443 | Belső |
| 7001 | Pletyka – Cassandra-csomópontok használják, hogy beszéljenek egymással |
| 9042 | Cassandra – Az ügyfelek a Cassandra-hoz való csatlakozáshoz használják |
| 7199 | Belső |
Következő lépések
Ebben a cikkben megismerkedett a szolgáltatás megfelelő kezeléséhez szükséges hálózati szabályokkal. További információ az Apache Cassandra azure SQL Managed Instance-példányáról az alábbi cikkekkel: