Aturan jaringan keluar yang dibutuhkan
Layanan Azure Managed Instance for Apache Cassandra memerlukan aturan jaringan tertentu untuk mengelola layanan dengan benar. Dengan memastikan Anda memiliki aturan yang tepat, Anda dapat menjaga keamanan layanan Anda dan mencegah masalah operasional.
Peringatan
Sebaiknya berhati-hatilah saat menerapkan perubahan pada aturan firewall untuk kluster yang ada. Misalnya, jika aturan tidak diterapkan dengan benar, aturan mungkin tidak diterapkan ke koneksi yang ada, sehingga mungkin muncul bahwa perubahan firewall tidak menyebabkan masalah apa pun. Namun, pembaruan otomatis node Instans Terkelola Cassandra kemudian mungkin gagal. Sebaiknya pantau konektivitas setelah pembaruan firewall utama selama beberapa waktu untuk memastikan tidak ada masalah.
Tag layanan jaringan virtual
Tip
Jika Anda menggunakan VPN , Anda tidak perlu membuka koneksi lain.
Jika Anda menggunakan Azure Firewall untuk membatasi akses keluar, sebaiknya gunakan tag layanan jaringan virtual. Tag dalam tabel diperlukan untuk membuat Azure SQL Managed Instance for Apache Cassandra berfungsi dengan baik.
| Tag Layanan Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
| Penyimpanan | HTTPS | 443 | Diperlukan untuk komunikasi yang aman antara node dan Azure Storage untuk komunikasi dan konfigurasi Control Plane. |
| AzureKeyVault | HTTPS | 443 | Diperlukan untuk komunikasi yang aman antara node dan Azure Key Vault. Sertifikat dan kunci digunakan untuk mengamankan komunikasi di dalam kluster. |
| EventHub | HTTPS | 443 | Diperlukan untuk meneruskan log ke Azure |
| AzureMonitor | HTTPS | 443 | Diperlukan untuk meneruskan metrik ke Azure |
| AzureActiveDirectory | HTTPS | 443 | Diperlukan untuk autentikasi Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Diperlukan untuk mengumpulkan informasi tentang node dan mengelola node Cassandra (misalnya, reboot) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Diperlukan untuk operasi penebangan. |
| GuestAndHybridManagement | HTTPS | 443 | Diperlukan untuk mengumpulkan informasi tentang node dan mengelola node Cassandra (misalnya, reboot) |
| ApiManagement | HTTPS | 443 | Diperlukan untuk mengumpulkan informasi tentang node dan mengelola node Cassandra (misalnya, reboot) |
Catatan
Selain tabel tag, Anda juga perlu menambahkan awalan alamat berikut, karena tag layanan tidak ada untuk layanan yang relevan: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Rute yang ditentukan pengguna
Jika Anda menggunakan firewall non-Microsoft untuk membatasi akses keluar, kami sangat menyarankan untuk mengonfigurasi rute yang ditentukan pengguna (UDR) untuk awalan alamat Microsoft, daripada mencoba mengizinkan konektivitas melalui Firewall Anda sendiri. Lihat contoh skrip bash untuk menambahkan awalan alamat yang diperlukan di rute yang ditentukan pengguna.
Azure Global aturan jaringan yang diperlukan
Aturan jaringan dan dependensi alamat IP yang diperlukan adalah:
| Titik Akhir Tujuan | Protokol | Port | Menggunakan |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Atau ServiceTag - Azure Storage |
HTTPS | 443 | Diperlukan untuk komunikasi yang aman antara node dan Azure Storage untuk komunikasi dan konfigurasi Control Plane. |
| *.store.core.windows.net:443 Atau ServiceTag - Azure Storage |
HTTPS | 443 | Diperlukan untuk komunikasi yang aman antara node dan Azure Storage untuk komunikasi dan konfigurasi Control Plane. |
| *.blob.core.windows.net:443 Atau ServiceTag - Azure Storage |
HTTPS | 443 | Diperlukan untuk komunikasi yang aman antara node dan Azure Storage untuk menyimpan cadangan. Fitur pencadangan sedang direvisi dan pola untuk nama penyimpanan diikuti oleh GA |
| vmc-p-region.vault.azure.net:443<> Atau ServiceTag - Azure KeyVault |
HTTPS | 443 | Diperlukan untuk komunikasi yang aman antara node dan Azure Key Vault. Sertifikat dan kunci digunakan untuk mengamankan komunikasi di dalam kluster. |
management.azure.com:443 Atau ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Diperlukan untuk mengumpulkan informasi tentang node dan mengelola node Cassandra (misalnya, reboot) |
| *.servicebus.windows.net:443 Atau ServiceTag - Azure EventHub |
HTTPS | 443 | Diperlukan untuk meneruskan log ke Azure |
jarvis-west.dc.ad.msft.net:443 Atau ServiceTag - Azure Monitor |
HTTPS | 443 | Diperlukan untuk meneruskan metrik Azure |
login.microsoftonline.com:443 Atau ServiceTag - ID Microsoft Entra |
HTTPS | 443 | Diperlukan untuk autentikasi Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Diperlukan untuk pembaruan definisi dan tanda tangan pemindai keamanan Azure |
| azure.microsoft.com | HTTPS | 443 | Diperlukan untuk mendapatkan informasi tentang set skala mesin virtual |
| <dsms.dsms.core.windows.net wilayah> | HTTPS | 443 | Sertifikat untuk pengelogan |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Titik akhir pengelogan diperlukan untuk pengelogan |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Diperlukan untuk metrik |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Diperlukan untuk mengunduh/memperbarui pemindai keamanan |
| crl.microsoft.com | HTTPS | 443 | Diperlukan untuk mengakses sertifikat Microsoft publik |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Diperlukan untuk mengakses sertifikat Microsoft publik |
Akses DNS
Sistem ini menggunakan nama DNS untuk mencapai layanan Azure yang dijelaskan dalam artikel ini sehingga dapat menggunakan penyeimbang beban. Oleh karena itu, jaringan virtual harus menjalankan server DNS yang dapat menyelesaikan alamat tersebut. Mesin virtual dalam jaringan virtual mengikuti server nama yang dikomunikasikan melalui protokol DHCP. Dalam kebanyakan kasus, Azure secara otomatis menyiapkan server DNS untuk jaringan virtual. Jika ini tidak terjadi dalam skenario Anda, nama DNS yang dijelaskan dalam artikel ini bisa menjadi panduan yang baik untuk memulai.
Penggunaan portal internal
Port berikut hanya dapat diakses dalam jaringan virtual (atau rute vnet yang di-peering./express). Azure Managed Instances for Apache Cassandra tidak memiliki IP publik dan tidak boleh diakses di Internet.
| Port | Menggunakan |
|---|---|
| 8443 | Internal |
| 9443 | Internal |
| 7001 | Gosip - Digunakan oleh node Cassandra untuk berbicara satu sama lain |
| 9042 | Cassandra -Digunakan oleh klien untuk terhubung ke Cassandra |
| 7199 | Internal |
Langkah berikutnya
Dalam artikel ini, Anda mempelajari tentang aturan jaringan untuk mengelola layanan dengan benar. Pelajari selengkapnya tentang Azure SQL Managed Instance for Apache Cassandra dengan artikel berikut: