必要なアウトバウンドネットワーク規則

[アーティクル]
11/15/2023

Azure Managed Instance for Apache Cassandra サービスを使用するには、サービスを適切に管理するために特定のネットワーク規則が必要です。適切なルールが公開されているようにすることで、サービスのセキュリティを維持し、運用上の問題を防ぐことができます。

警告

既存のクラスターのファイアウォール規則に変更を適用する場合は、注意を払うことをお勧めします。たとえば、規則が正しく適用されていない場合、既存の接続に適用されない可能性があるため、ファイアウォールの変更によって問題が発生していないように見える場合があります。ただし、Cassandra Managed Instance ノードの自動更新が、その後に失敗する可能性があります。重大なファイアウォールの更新後、しばらくの間、問題がないことを確認するために接続を監視することをお勧めします。

仮想ネットワークサービスタグ

ヒント

VPN を使用する場合、他の接続を開く必要はありません。

Azure Firewall を使用してアウトバウンドアクセスを制限している場合は、仮想ネットワークサービスタグを使用することを強くお勧めします。表のタグは、Azure SQL Managed Instance for Apache Cassandra を正常に機能させるために必要です。

宛先サービスタグ	プロトコル	Port	用途
記憶域	HTTPS	443	コントロールプレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。
AzureKeyVault	HTTPS	443	ノードと Azure Key Vault 間の安全な通信に必要です。クラスター内の通信をセキュリティで保護するために証明書とキーが使用されます。
EventHub	HTTPS	443	Azure にログを転送するために必要です
AzureMonitor	HTTPS	443	Azure にメトリックを転送するために必要です
AzureActiveDirectory	HTTPS	443	Microsoft Entra 認証に必要です。
AzureResourceManager	HTTPS	443	Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です
AzureFrontDoor.Firstparty	HTTPS	443	ログ操作に必要です。
GuestAndHybridManagement	HTTPS	443	Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です
ApiManagement	HTTPS	443	Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です

Note

タグ表に加えて、関連するサービスのサービスタグが存在しない場合、104.40.0.0/13 13.104.0.0/14 40.64.0.0/10 のアドレスプレフィックスも追加する必要があります

ユーザー定義のルート

Microsoft 以外のファイアウォールを使用して送信アクセスを制限している場合は、独自のファイアウォール経由の接続を許可するのではなく、Microsoft アドレスプレフィックス用にユーザー定義ルート (UDR) を構成することを強くお勧めします。ユーザー定義のルートに必要なアドレスプレフィックスを追加するサンプル bash スクリプトを参照してください。

Azure Global に必要なネットワーク規則

必要なネットワーク規則と IP アドレスの依存関係は次のとおりです。

送信先エンドポイント	Protocol	Port	用途
snovap<リージョン>.blob.core.windows.net:443 または ServiceTag - Azure Storage	HTTPS	443	コントロールプレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。
*.store.core.windows.net:443 または ServiceTag - Azure Storage	HTTPS	443	コントロールプレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。
*.blob.core.windows.net:443 または ServiceTag - Azure Storage	HTTPS	443	バックアップを格納するためにノードと Azure Storage 間で行う安全な通信に必要です。バックアップ機能を変更しており、ストレージ名のパターンが GA で続きます
vmc-p-<リージョン>.vault.azure.net:443 または ServiceTag - Azure KeyVault	HTTPS	443	ノードと Azure Key Vault 間の安全な通信に必要です。クラスター内の通信をセキュリティで保護するために証明書とキーが使用されます。
management.azure.com:443 または ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API	HTTPS	443	Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です
*.servicebus.windows.net:443 または ServiceTag - Azure EventHub	HTTPS	443	Azure にログを転送するために必要です
jarvis-west.dc.ad.msft.net:443 または ServiceTag - Azure Monitor	HTTPS	443	メトリックを Azure に転送するために必要です
login.microsoftonline.com:443 または ServiceTag - Microsoft Entra ID	HTTPS	443	Microsoft Entra 認証に必要です。
packages.microsoft.com	HTTPS	443	Azure セキュリティスキャナーの定義と署名の更新に必要です
azure.microsoft.com	HTTPS	443	仮想マシンスケールセットに関する情報を取得するために必要です
<リージョン>-dsms.dsms.core.windows.net	HTTPS	443	ログ記録用の証明書
gcs.prod.monitoring.core.windows.net	HTTPS	443	ログ記録に必要なログエンドポイント
global.prod.microsoftmetrics.com	HTTPS	443	メトリックに必要です
shavsalinuxscanpkg.blob.core.windows.net	HTTPS	443	セキュリティスキャナーのダウンロードまたは更新に必要です
crl.microsoft.com	HTTPS	443	公開されている Microsoft 証明書にアクセスするために必要です
global-dsms.dsms.core.windows.net	HTTPS	443	公開されている Microsoft 証明書にアクセスするために必要です

DNS アクセス

システムでは、ロードバランサーを使用できるように、この記事で説明されている Azure サービスへの到達に DNS 名を使用します。そのため、仮想ネットワークでは、これらのアドレスを解決できる DNS サーバーを実行する必要があります。仮想ネットワーク内の仮想マシンは、DHCP プロトコルを介して通信されるネームサーバーを優先します。ほとんどの場合、Azure では仮想ネットワークの DNS サーバーが自動的に設定されます。このような状況が発生しない場合は、この記事で説明されている DNS 名を使用して作業を開始することをお勧めします。

内部ポートの使用

次のポートは、仮想ネットワーク (またはピアリングされた vnets./express ルート) 内でのみアクセスできます。 Azure Managed Instance for Apache Cassandra にはパブリック IP がなく、インターネットでアクセス可能にしてはなりません。

ポート	用途
8443	内部
9443	内部
7001	ゴシップ - Cassandra ノードの相互通信に使用
9042	Cassandra - クライアントが Cassandra に接続するために使用
7199	内部

次のステップ

この記事では、サービスを適切に管理するためのネットワーク規則について説明しました。 Azure SQL Managed Instance for Apache Cassandra の詳細については、次の記事を参照してください。

必要なアウトバウンド ネットワーク規則

仮想ネットワーク サービス タグ