Azure Managed Instance for Apache Cassandra では、サービスを適切に管理するために特定のネットワーク規則が必要です。 適切なルールが公開されていることを確認することで、サービスをセキュリティで保護し、運用上の問題を防ぐことができます。
警告
既存のクラスターのファイアウォール規則に変更を適用するときは注意してください。 たとえば、ルールが正しく適用されていない場合は、既存の接続に適用されない可能性があるため、ファイアウォールの変更によって問題が発生しなかったように見える可能性があります。 ただし、Azure Managed Instance for Apache Cassandra ノードの自動更新は後で失敗する可能性があります。 主要なファイアウォールの更新後の接続をしばらく監視して、問題がないことを確認します。
仮想ネットワーク サービス タグ
仮想プライベート ネットワーク (VPN) を使用する場合は、他の接続を開く必要はありません。
Azure Firewall を使用して送信アクセスを制限する場合は、 仮想ネットワーク サービス タグを使用することを強くお勧めします。 次の表のタグは、Azure SQL Managed Instance for Apache Cassandra を正しく機能させるために必要です。
| デスティネーションサービスタグ | Protocol | 港 / ポート | 用途 |
|---|---|---|---|
Storage |
HTTPS | 443 | コントロール プレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。 |
AzureKeyVault |
HTTPS | 443 | ノードと Azure Key Vault 間の安全な通信に必要です。 クラスター内の通信をセキュリティで保護するために証明書とキーが使用されます。 |
EventHub |
HTTPS | 443 | ログを Azure に転送するために必要です。 |
AzureMonitor |
HTTPS | 443 | メトリックを Azure に転送するために必要です。 |
AzureActiveDirectory |
HTTPS | 443 | Microsoft Entra 認証に必要です。 |
AzureResourceManager |
HTTPS | 443 | Cassandra ノードに関する情報を収集して管理するために必要です (再起動など)。 |
AzureFrontDoor.Firstparty |
HTTPS | 443 | ログ操作に必要です。 |
GuestAndHybridManagement |
HTTPS | 443 | Cassandra ノードに関する情報を収集して管理するために必要です (再起動など)。 |
ApiManagement |
HTTPS | 443 | Cassandra ノードに関する情報を収集して管理するために必要です (再起動など)。 |
タグ テーブルに加えて、関連するサービスのサービス タグが存在しないため、次のアドレス プレフィックスを追加する必要があります。
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
ユーザー定義のルート
Microsoft 以外のファイアウォールを使用して送信アクセスを制限する場合は、独自のファイアウォール経由の接続を許可するのではなく、Microsoft アドレス プレフィックスの ユーザー定義ルート (UDR) を 構成することを強くお勧めします。 UDR に必要なアドレス プレフィックスを追加するには、 Bash スクリプトのサンプルを参照してください。
Azure Global に必要なネットワーク規則
次の表に、必要なネットワーク規則と IP アドレスの依存関係を示します。
| 送信先エンドポイント | Protocol | 港 / ポート | 用途 |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443または ServiceTag - Azure Storage |
HTTPS | 443 | コントロール プレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。 |
*.store.core.windows.net:443または ServiceTag - Azure Storage |
HTTPS | 443 | コントロール プレーンの通信と構成のためにノードと Azure Storage 間で行う安全な通信に必要です。 |
*.blob.core.windows.net:443または ServiceTag - Azure Storage |
HTTPS | 443 | バックアップを格納するためにノードと Azure Storage 間で行う安全な通信に必要です。 バックアップ機能は変更中であり、ストレージ名のパターンは一般提供に従います。 |
vmc-p-<region>.vault.azure.net:443または ServiceTag - Azure Key Vault |
HTTPS | 443 | ノードと Azure Key Vault 間の安全な通信に必要です。 クラスター内の通信をセキュリティで保護するために証明書とキーが使用されます。 |
management.azure.com:443または ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Cassandra ノードに関する情報を収集して管理するために必要です (再起動など)。 |
*.servicebus.windows.net:443または ServiceTag - Azure Event Hubs |
HTTPS | 443 | ログを Azure に転送するために必要です。 |
jarvis-west.dc.ad.msft.net:443または ServiceTag - Azure Monitor |
HTTPS | 443 | メトリックを Azure に転送するために必要です。 |
login.microsoftonline.com:443または ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 認証に必要です。 |
packages.microsoft.com |
HTTPS | 443 | Azure セキュリティ スキャナーの定義と署名の更新に必要です。 |
azure.microsoft.com |
HTTPS | 443 | 仮想マシン スケール セットに関する情報を取得するために必要です。 |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | ログ記録用の証明書。 |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | ログ記録に必要なログ エンドポイント。 |
global.prod.microsoftmetrics.com |
HTTPS | 443 | メトリックに必要です。 |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | セキュリティ スキャナーをダウンロード/更新するために必要です。 |
crl.microsoft.com |
HTTPS | 443 | パブリック Microsoft 証明書にアクセスするために必要です。 |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | パブリック Microsoft 証明書にアクセスするために必要です。 |
DNS アクセス
システムは、ロード バランサーを使用できるように、ドメイン ネーム システム (DNS) 名を使用して、この記事で説明されている Azure サービスにアクセスします。 このため、仮想ネットワークは、これらのアドレスを解決できる DNS サーバーを実行する必要があります。 仮想ネットワーク内の仮想マシンは、動的ホスト構成プロトコルを介して通信されるネーム サーバーを尊重します。
ほとんどの場合、Azure では仮想ネットワークの DNS サーバーが自動的に設定されます。 このアクションがシナリオで発生しない場合は、この記事で説明されている DNS 名を使用することをお勧めします。
内部ポートの使用
次のポートは、仮想ネットワーク (またはピアリングされた仮想ネットワーク/高速ルート) 内でのみアクセスできます。 Azure Managed Instance for Apache Cassandra のインスタンスにはパブリック IP がないため、インターネットでアクセスすることはできません。
| 港 / ポート | 用途 |
|---|---|
| 8443 | 内部。 |
| 9443 | 内部。 |
| 7001 | ゴシップ - Cassandra ノードの相互通信に使用。 |
| 9042 | Cassandra: Cassandra に接続するためにクライアントによって使用されます。 |
| 7199 | 内部。 |
関連コンテンツ
この記事では、サービスを適切に管理するためのネットワーク規則について説明しました。 Azure SQL Managed Instance for Apache Cassandra の詳細については、次の記事を参照してください。