Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Apache Cassandra azure-beli felügyelt példányához bizonyos hálózati szabályok szükségesek a szolgáltatás megfelelő kezeléséhez. A megfelelő szabályok biztosításával biztonságban tarthatja szolgáltatását, és megelőzheti a működési problémákat.
Figyelmeztetés
A meglévő fürtök tűzfalszabályainak módosításakor körültekintően járjon el. Ha például a szabályok nem megfelelően vannak alkalmazva, előfordulhat, hogy nem lesznek alkalmazva a meglévő kapcsolatokra, ezért úgy tűnhet, hogy a tűzfal módosításai nem okoztak problémát. Az Apache Cassandra-csomópontokhoz készült Azure Managed Instance automatikus frissítése azonban később meghiúsulhat. A nagyobb tűzfalfrissítések után egy ideig monitorozza a kapcsolatot, hogy biztosan ne legyen probléma.
Virtuális hálózati szolgáltatáscímkék
Ha virtuális magánhálózatot (VPN-t) használ, nem kell más kapcsolatot megnyitnia.
Ha az Azure Firewall használatával korlátozza a kimenő hozzáférést, javasoljuk, hogy használjon virtuális hálózati szolgáltatáscímkéket. A következő táblázatban szereplő címkék szükségesek ahhoz, hogy az Apache Cassandra Azure SQL Managed Instance megfelelően működjön.
| Célszolgáltatás címkéje | Protokoll | Kikötő | Használat |
|---|---|---|---|
Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a vezérlősíkok közötti kommunikációhoz és konfiguráláshoz. |
AzureKeyVault |
HTTPS | 443 | A csomópontok és az Azure Key Vault közötti biztonságos kommunikációhoz szükséges. A tanúsítványokkal és kulcsokkal biztonságossá teheti a fürtön belüli kommunikációt. |
EventHub |
HTTPS | 443 | A naplók Azure-ba való továbbításához szükséges. |
AzureMonitor |
HTTPS | 443 | A metrikák Azure-ba való továbbításához szükséges. |
AzureActiveDirectory |
HTTPS | 443 | A Microsoft Entra-hitelesítéshez szükséges. |
AzureResourceManager |
HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Naplózási műveletekhez szükséges. |
GuestAndHybridManagement |
HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás). |
ApiManagement |
HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás). |
A címkék táblán kívül a következő címelőtagokat is hozzá kell adnia, mert a szolgáltatáscímke nem létezik az adott szolgáltatáshoz:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Felhasználó által megadott útvonalak
Ha nem Microsoft-tűzfallal korlátozza a kimenő hozzáférést, javasoljuk, hogy a saját tűzfalon keresztüli kapcsolódás engedélyezése helyett konfigurálja a felhasználó által megadott útvonalakat (UDR-eket) a Microsoft címelőtagjaihoz. A szükséges címelőtagok UDR-ekben való hozzáadásához tekintse meg a Bash-példaszkriptet.
Az Azure Globalhoz szükséges hálózati szabályok
Az alábbi táblázat a szükséges hálózati szabályokat és IP-címfüggőségeket sorolja fel.
| Célvégpont | Protokoll | Kikötő | Használat |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Vagy ServiceTag – Azure Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a vezérlősíkok közötti kommunikációhoz és konfiguráláshoz. |
*.store.core.windows.net:443
Vagy ServiceTag – Azure Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a vezérlősíkok közötti kommunikációhoz és konfiguráláshoz. |
*.blob.core.windows.net:443
Vagy ServiceTag – Azure Storage |
HTTPS | 443 | A csomópontok és az Azure Storage közötti biztonságos kommunikációhoz szükséges a biztonsági másolatok tárolásához. A biztonsági mentési funkció módosítása folyamatban van, és a tárnév mintája az általános rendelkezésre állás alapján következik. |
vmc-p-<region>.vault.azure.net:443
/ ServiceTag – Azure Key Vault |
HTTPS | 443 | A csomópontok és az Azure Key Vault közötti biztonságos kommunikációhoz szükséges. A tanúsítványokkal és kulcsokkal biztonságossá teheti a fürtön belüli kommunikációt. |
management.azure.com:443
Vagy ServiceTag – Azure-beli virtuálisgép-méretezési csoportok/Azure Management API |
HTTPS | 443 | A Cassandra-csomópontokkal kapcsolatos információk gyűjtéséhez és kezeléséhez szükséges (például újraindítás). |
*.servicebus.windows.net:443
Vagy ServiceTag – Azure Event Hubs |
HTTPS | 443 | A naplók Azure-ba való továbbításához szükséges. |
jarvis-west.dc.ad.msft.net:443
Vagy ServiceTag – Azure Monitor |
HTTPS | 443 | A metrikák Azure-ba való továbbításához szükséges. |
login.microsoftonline.com:443
Vagy ServiceTag – Microsoft Entra-azonosító |
HTTPS | 443 | A Microsoft Entra-hitelesítéshez szükséges. |
packages.microsoft.com |
HTTPS | 443 | Az Azure biztonsági szkenner definíciójának és aláírásainak frissítéséhez szükséges. |
azure.microsoft.com |
HTTPS | 443 | A virtuálisgép-méretezési csoportokkal kapcsolatos információk lekéréséhez szükséges adatok. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Tanúsítvány naplózáshoz. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Naplózáshoz szükséges naplózási végpont. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | A metrikákhoz szükséges. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | A biztonsági ellenőrző letöltéséhez/frissítéséhez szükséges. |
crl.microsoft.com |
HTTPS | 443 | Nyilvános Microsoft-tanúsítványok eléréséhez szükséges. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Nyilvános Microsoft-tanúsítványok eléréséhez szükséges. |
DNS-hozzáférés
A rendszer dns-névvel éri el a cikkben ismertetett Azure-szolgáltatásokat, hogy terheléselosztókat használjon. Ezért a virtuális hálózatnak olyan DNS-kiszolgálót kell futtatnia, amely képes feloldani ezeket a címeket. A virtuális hálózat virtuális gépei a dinamikus gazdagép konfigurációs protokollon keresztül kommunikált névkiszolgálót használják.
A legtöbb esetben az Azure automatikusan beállít egy DNS-kiszolgálót a virtuális hálózathoz. Ha ez a művelet nem történik meg a forgatókönyvben, a cikkben ismertetett DNS-nevek jó útmutatók az első lépésekhez.
Belső porthasználat
A következő portok csak a virtuális hálózaton (vagy társhálózatokon/expressz útvonalakon) érhetők el. Az Apache Cassandra azure-beli felügyelt példányai nem rendelkeznek nyilvános IP-címekkel, és nem szabad elérhetővé tenni az interneten.
| Kikötő | Használat |
|---|---|
| 8443 | Belső. |
| 9443 | Belső. |
| 7001 | Hálózati értesítés: A Cassandra csomópontok ezt használják, hogy kommunikáljanak egymással. |
| 9042 | Cassandra: Az ügyfelek használják a Cassandra-hoz való csatlakozáshoz. |
| 7199 | Belső. |
Kapcsolódó tartalom
Ebben a cikkben megismerkedett a szolgáltatás megfelelő kezeléséhez szükséges hálózati szabályokkal. További információ az Apache Cassandra azure SQL Managed Instance-példányáról az alábbi cikkekkel: