Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Istanza gestita di Azure per Apache Cassandra richiede determinate regole di rete per gestire correttamente il servizio. Assicurandosi di avere esposto le regole appropriate, è possibile proteggere il servizio e prevenire problemi operativi.
Avviso
Prestare attenzione quando si applicano modifiche alle regole del firewall per un cluster esistente. Ad esempio, se le regole non vengono applicate correttamente, potrebbero non essere applicate alle connessioni esistenti, quindi potrebbe sembrare che le modifiche del firewall non causassero problemi. Tuttavia, gli aggiornamenti automatici dell'istanza gestita di Azure per i nodi Apache Cassandra potrebbero non riuscire in un secondo momento. Monitorare la connettività dopo eventuali aggiornamenti principali del firewall per un certo periodo di tempo per assicurarsi che non siano presenti problemi.
Tag del servizio di rete virtuale
Se si usa una rete privata virtuale (VPN), non è necessario aprire altre connessioni.
Se si usa Firewall di Azure per limitare l'accesso in uscita, è consigliabile usare i tag del servizio di rete virtuale. I tag nella tabella seguente sono necessari per rendere corretto il funzionamento di Istanza gestita di SQL di Azure per Apache Cassandra.
| Tag del servizio di destinazione | Protocollo | Porto | Uso |
|---|---|---|---|
Storage |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per la comunicazione e la configurazione del piano di controllo. |
AzureKeyVault |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Azure Key Vault. I certificati e le chiavi vengono usati per proteggere la comunicazione all'interno del cluster. |
EventHub |
HTTPS | 443 | Obbligatorio per inoltrare i log ad Azure. |
AzureMonitor |
HTTPS | 443 | Obbligatorio per inoltrare le metriche ad Azure. |
AzureActiveDirectory |
HTTPS | 443 | Necessaria per l'autenticazione di Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli( ad esempio, riavviare). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Obbligatorio per le operazioni di registrazione. |
GuestAndHybridManagement |
HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli( ad esempio, riavviare). |
ApiManagement |
HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli( ad esempio, riavviare). |
Oltre alla tabella dei tag, è necessario aggiungere i prefissi di indirizzo seguenti perché un tag di servizio non esiste per il servizio pertinente:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Route definite dall'utente
Se si usa un firewall non Microsoft per limitare l'accesso in uscita, consigliamo vivamente di configurare route definite dall'utente (UDR) per i prefissi degli indirizzi Microsoft anziché tentare di consentire la connettività tramite il proprio firewall. Per aggiungere i prefissi di indirizzo richiesti nelle UDR, vedere lo script Bash di esempio.
Regole di rete necessarie per Azure a livello globale
Nella tabella seguente sono elencate le regole di rete necessarie e le dipendenze degli indirizzi IP.
| Endpoint di destinazione | Protocollo | Porto | Uso |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443O ServiceTag - Azure Storage |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per la comunicazione e la configurazione del piano di controllo. |
*.store.core.windows.net:443O ServiceTag - Azure Storage |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per la comunicazione e la configurazione del piano di controllo. |
*.blob.core.windows.net:443O ServiceTag - Azure Storage |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Archiviazione di Azure per archiviare i backup. La funzionalità di backup è in fase di revisione e un criterio per il nome di archiviazione verrà fornito in corrispondenza della disponibilità generale. |
vmc-p-<region>.vault.azure.net:443O ServiceTag - Azure Key Vault |
HTTPS | 443 | Obbligatorio per la comunicazione sicura tra i nodi e Azure Key Vault. I certificati e le chiavi vengono usati per proteggere la comunicazione all'interno del cluster. |
management.azure.com:443O ServiceTag - Set di scalabilità di macchine virtuali di Azure/API di gestione di Azure |
HTTPS | 443 | Obbligatorio per raccogliere informazioni sui nodi Cassandra e gestirli( ad esempio, riavviare). |
*.servicebus.windows.net:443O ServiceTag - Hub eventi di Azure |
HTTPS | 443 | Obbligatorio per inoltrare i log ad Azure. |
jarvis-west.dc.ad.msft.net:443O ServiceTag - Monitoraggio di Azure |
HTTPS | 443 | Obbligatorio per inoltrare le metriche ad Azure. |
login.microsoftonline.com:443O ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Necessaria per l'autenticazione di Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Obbligatorio per gli aggiornamenti alla definizione e alle firme dello scanner di sicurezza di Azure. |
azure.microsoft.com |
HTTPS | 443 | Obbligatorio per ottenere informazioni sui set di scalabilità di macchine virtuali. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certificato per la gestione dei log. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Endpoint di registrazione necessario per la registrazione. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | È necessario per le metriche. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Necessario per scaricare/aggiornare lo scanner di sicurezza. |
crl.microsoft.com |
HTTPS | 443 | Necessario per accedere ai certificati Microsoft pubblici. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Necessario per accedere ai certificati Microsoft pubblici. |
Accesso DNS
Il sistema usa nomi DNS (Domain Name System) per raggiungere i servizi di Azure descritti in questo articolo in modo che possa usare i servizi di bilanciamento del carico. Per questo motivo, la rete virtuale deve eseguire un server DNS in grado di risolvere tali indirizzi. Le macchine virtuali nella rete virtuale rispettano il server DNS comunicato tramite il protocollo DHCP (Dynamic Host Configuration Protocol).
Nella maggior parte dei casi Azure configura automaticamente un server DNS per la rete virtuale. Se questa azione non si verifica nello scenario, i nomi DNS descritti in questo articolo sono una buona guida per iniziare.
Utilizzo delle porte interne
Le porte seguenti sono accessibili solo all'interno della rete virtuale o di reti virtuali con peering/route ExpressRoute. Le istanze di Istanza gestita di Azure per Apache Cassandra non hanno un indirizzo IP pubblico e non devono essere rese accessibili su Internet.
| Porto | Uso |
|---|---|
| 8443 | Interno. |
| 9443 | Interno. |
| 7001 | Gossip: usato dai nodi Cassandra per comunicare tra loro. |
| 9042) | Cassandra: usato dai client per connettersi a Cassandra. |
| 7199 | Interno. |
Contenuti correlati
In questo articolo sono state illustrate le regole di rete per gestire correttamente il servizio. Altre informazioni su Istanza gestita di SQL di Azure per Apache Cassandra sono disponibili negli articoli seguenti: