英語で読む

次の方法で共有

必要なアウトバウンド ネットワーク規則

  • [アーティクル]

Azure Managed Instance for Apache Cassandra サービスを使用するには、サービスを適切に管理するために特定のネットワーク規則が必要です。 適切なルールが公開されているようにすることで、サービスのセキュリティを維持し、運用上の問題を防ぐことができます。

警告

既存のクラスターのファイアウォール規則に変更を適用する場合は、注意を払うことをお勧めします。 たとえば、規則が正しく適用されていない場合、既存の接続に適用されない可能性があるため、ファイアウォールの変更によって問題が発生していないように見える場合があります。 ただし、Cassandra Managed Instance ノードの自動更新が、その後に失敗する可能性があります。 重大なファイアウォールの更新後、しばらくの間、問題がないことを確認するために接続を監視することをお勧めします。

仮想ネットワーク サービス タグ

ヒント

VPN を使用する場合、他の接続を開く必要はありません。

Azure Firewall を使用してアウトバウンド アクセスを制限している場合は、仮想ネットワーク サービス タグを使用することを強くお勧めします。 表のタグは、Azure SQL Managed Instance for Apache Cassandra を正常に機能させるために必要です。

宛先サービス タグ プロトコル Port 用途
記憶域 HTTPS 443 コントロール プレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。
AzureKeyVault HTTPS 443 ノードと Azure Key Vault 間の安全な通信に必要です。 クラスター内の通信をセキュリティで保護するために証明書とキーが使用されます。
EventHub HTTPS 443 Azure にログを転送するために必要です
AzureMonitor HTTPS 443 Azure にメトリックを転送するために必要です
AzureActiveDirectory HTTPS 443 Microsoft Entra 認証に必要です。
AzureResourceManager HTTPS 443 Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です
AzureFrontDoor.Firstparty HTTPS 443 ログ操作に必要です。
GuestAndHybridManagement HTTPS 443 Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です
ApiManagement HTTPS 443 Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です

注意

タグ表に加えて、関連するサービスのサービス タグが存在しない場合、104.40.0.0/13 13.104.0.0/14 40.64.0.0/10 のアドレス プレフィックスも追加する必要があります

ユーザー定義のルート

Microsoft 以外のファイアウォールを使用して送信アクセスを制限している場合は、独自のファイアウォール経由の接続を許可するのではなく、Microsoft アドレス プレフィックス用にユーザー定義ルート (UDR) を構成することを強くお勧めします。 ユーザー定義のルートに必要なアドレス プレフィックスを追加するサンプル bash スクリプトを参照してください。

Azure Global に必要なネットワーク規則

必要なネットワーク規則と IP アドレスの依存関係は次のとおりです。

送信先エンドポイント Protocol Port 用途
snovap<リージョン>.blob.core.windows.net:443
または
ServiceTag - Azure Storage		 HTTPS 443 コントロール プレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。
*.store.core.windows.net:443
または
ServiceTag - Azure Storage		 HTTPS 443 コントロール プレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。
*.blob.core.windows.net:443
または
ServiceTag - Azure Storage		 HTTPS 443 バックアップを格納するためにノードと Azure Storage 間で行う安全な通信に必要です。 バックアップ機能を変更しており、ストレージ名のパターンが GA で続きます
vmc-p-<リージョン>.vault.azure.net:443
または
ServiceTag - Azure KeyVault		 HTTPS 443 ノードと Azure Key Vault 間の安全な通信に必要です。 クラスター内の通信をセキュリティで保護するために証明書とキーが使用されます。
management.azure.com:443
または
ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API		 HTTPS 443 Cassandra ノードに関する情報を収集し、ノードを管理する (再起動など) ために必要です
*.servicebus.windows.net:443
または
ServiceTag - Azure EventHub		 HTTPS 443 Azure にログを転送するために必要です
jarvis-west.dc.ad.msft.net:443
または
ServiceTag - Azure Monitor		 HTTPS 443 メトリックを Azure に転送するために必要です
login.microsoftonline.com:443
または
ServiceTag - Microsoft Entra ID		 HTTPS 443 Microsoft Entra 認証に必要です。
packages.microsoft.com HTTPS 443 Azure セキュリティ スキャナーの定義と署名の更新に必要です
azure.microsoft.com HTTPS 443 仮想マシン スケール セットに関する情報を取得するために必要です
<リージョン>-dsms.dsms.core.windows.net HTTPS 443 ログ記録用の証明書
gcs.prod.monitoring.core.windows.net HTTPS 443 ログ記録に必要なログ エンドポイント
global.prod.microsoftmetrics.com HTTPS 443 メトリックに必要です
shavsalinuxscanpkg.blob.core.windows.net HTTPS 443 セキュリティ スキャナーのダウンロードまたは更新に必要です
crl.microsoft.com HTTPS 443 公開されている Microsoft 証明書にアクセスするために必要です
global-dsms.dsms.core.windows.net HTTPS 443 公開されている Microsoft 証明書にアクセスするために必要です

DNS アクセス

システムでは、ロード バランサーを使用できるように、この記事で説明されている Azure サービスへの到達に DNS 名を使用します。 そのため、仮想ネットワークでは、これらのアドレスを解決できる DNS サーバーを実行する必要があります。 仮想ネットワーク内の仮想マシンは、DHCP プロトコルを介して通信されるネーム サーバーを優先します。 ほとんどの場合、Azure では仮想ネットワークの DNS サーバーが自動的に設定されます。 このような状況が発生しない場合は、この記事で説明されている DNS 名を使用して作業を開始することをお勧めします。

内部ポートの使用

次のポートは、仮想ネットワーク (またはピアリングされた vnets./express ルート) 内でのみアクセスできます。 Azure Managed Instance for Apache Cassandra にはパブリック IP がなく、インターネットでアクセス可能にしてはなりません。

ポート 用途
8443 内部
9443 内部
7001 ゴシップ - Cassandra ノードの相互通信に使用
9042 Cassandra - クライアントが Cassandra に接続するために使用
7199 内部

次のステップ

この記事では、サービスを適切に管理するためのネットワーク規則について説明しました。 Azure SQL Managed Instance for Apache Cassandra の詳細については、次の記事を参照してください。