필수 아웃바운드 네트워크 규칙
Azure Managed Instance for Apache Cassandra 서비스에는 서비스를 제대로 관리하기 위해 특정 네트워크 규칙이 필요합니다. 적절한 규칙이 노출되도록 하면 서비스를 안전하게 유지하고 운영 문제를 방지할 수 있습니다.
Warning
기존 클러스터에 대한 방화벽 규칙에 변경 내용을 적용할 때는 주의해야 합니다. 예를 들어 규칙이 올바르게 적용되지 않으면 기존 연결에 적용되지 않을 수 있으므로 방화벽 변경으로 인해 문제가 발생하지 않은 것처럼 보일 수 있습니다. 그러나 Cassandra Managed Instance 노드의 자동 업데이트는 이후에 실패할 수 있습니다. 주요 방화벽 업데이트 후에는 한동안 연결을 모니터링하여 문제가 없는지 확인하는 것이 좋습니다.
가상 네트워크 서비스 태그
팁
VPN을 사용하는 경우 다른 연결을 열 필요가 없습니다.
Azure Firewall을 사용하여 아웃바운드 액세스를 제한하는 경우 가상 네트워크 서비스 태그를 사용하는 것이 좋습니다. 테이블의 태그는 Apache Cassandra용 Azure SQL Managed Instance가 제대로 작동하도록 하는 데 필요합니다.
| 대상 서비스 태그 | 프로토콜 | Port | 사용할 용어 |
|---|---|---|---|
| 스토리지 | HTTPS | 443 | 제어 평면 통신 및 구성을 위한 노드와 Azure Storage 간의 보안 통신에 필요합니다. |
| AzureKeyVault | HTTPS | 443 | 노드와 Azure Key Vault 간의 보안 통신에 필요합니다. 인증서 및 키는 클러스터 내부의 통신을 보호하는 데 사용됩니다. |
| EventHub | HTTPS | 443 | Azure에 로그를 전달하는 데 필요 |
| AzureMonitor | HTTPS | 443 | Azure에 메트릭을 전달하는 데 필요 |
| AzureActiveDirectory | HTTPS | 443 | Microsoft Entra 인증에 필요합니다. |
| AzureResourceManager | HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요(예: 재부팅) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | 로깅 작업에 필요합니다. |
| GuestAndHybridManagement | HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요(예: 재부팅) |
| ApiManagement | HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요(예: 재부팅) |
참고 항목
태그 테이블 외에도 관련 서비스에 대한 서비스 태그가 없으므로 다음 주소 접두사를 추가해야 합니다. 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
사용자 정의 경로
타사 방화벽을 사용하여 아웃바운드 액세스를 제한하는 경우 자체 방화벽을 통한 연결을 허용하지 않고 Microsoft 주소 접두사에 대해 UDR(사용자 정의 경로)을 구성하는 것이 좋습니다. 사용자 정의 경로에 필요한 주소 프리픽스를 추가하려면 샘플 bash 스크립트를 참조하세요.
Azure 글로벌 필수 네트워크 규칙
필수 네트워크 규칙 및 IP 주소 종속성은 다음과 같습니다.
| 대상 엔드포인트 | 프로토콜 | Port | 사용할 용어 |
|---|---|---|---|
| snovap<region>.blob.core.windows.net:443 OrServiceTag - Azure Storage | HTTPS | 443 | 제어 평면 통신 및 구성을 위한 노드와 Azure Storage 간의 보안 통신에 필요합니다. |
| *.store.core.windows.net:443 OrServiceTag - Azure Storage | HTTPS | 443 | 제어 평면 통신 및 구성을 위한 노드와 Azure Storage 간의 보안 통신에 필요합니다. |
| *.blob.core.windows.net:443 OrServiceTag - Azure Storage | HTTPS | 443 | 노드와 백업을 저장하기 위해 노드와 Azure Storage 간의 보안 통신에 필요합니다. 백업 기능이 수정되고 스토리지 이름에 대한 패턴과 GA가 뒤따릅니다. |
| vmc-p-<region>.vault.azure.net:443 OrServiceTag - Azure KeyVault | HTTPS | 443 | 노드와 Azure Key Vault 간의 보안 통신에 필요합니다. 인증서 및 키는 클러스터 내부의 통신을 보호하는 데 사용됩니다. |
| management.azure.com:443 OrServiceTag - Azure Virtual Machine Scale Sets/Azure Management API | HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요(예: 재부팅) |
| *.servicebus.windows.net:443 OrServiceTag - Azure EventHub | HTTPS | 443 | Azure에 로그를 전달하는 데 필요 |
| jarvis-west.dc.ad.msft.net:443 OrServiceTag - Azure Monitor | HTTPS | 443 | 메트릭 Azure를 전달하는 데 필요 |
| login.microsoftonline.com:443 OrServiceTag - Microsoft Entra ID | HTTPS | 443 | Microsoft Entra 인증에 필요합니다. |
| packages.microsoft.com | HTTPS | 443 | Azure 보안 스캐너 정의 및 서명 업데이트에 필요 |
| azure.microsoft.com | HTTPS | 443 | 가상 머신 확장 집합에 대한 정보를 가져오는 데 필요합니다. |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | 로깅 인증서 |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 로깅에 필요한 로깅 엔드포인트 |
| global.prod.microsoftmetrics.com | HTTPS | 443 | 메트릭에 필요 |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | 보안 스캐너 다운로드/업데이트에 필요 |
| crl.microsoft.com | HTTPS | 443 | 공용 Microsoft 인증서에 액세스하는 데 필요 |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | 공용 Microsoft 인증서에 액세스하는 데 필요 |
DNS 액세스
시스템은 부하 분산 장치를 사용할 수 있도록 DNS 이름을 사용하여 이 문서에 설명된 Azure 서비스에 도달합니다. 따라서 가상 네트워크는 해당 주소를 확인할 수 있는 DNS 서버를 실행해야 합니다. 가상 네트워크의 가상 머신은 DHCP 프로토콜을 통해 통신되는 이름 서버를 따릅니다. 대부분의 경우 Azure는 가상 네트워크에 대한 DNS 서버를 자동으로 설정합니다. 시나리오에서 이 문제가 발생하지 않는 경우 이 문서에 설명된 DNS 이름은 시작하는 데 좋은 가이드입니다.
내부 포트 사용
다음 포트는 가상 네트워크(또는 피어된 vnet./express 경로) 내에서만 액세스할 수 있습니다. Apache Cassandra용 Azure Managed Instance에는 공용 IP가 없으며 인터넷에서 액세스할 수 없습니다.
| 포트 | 사용할 용어 |
|---|---|
| 8443 | 내부 |
| 9443 | 내부 |
| 7001 | 가십 - Cassandra 노드가 서로 대화하는 데 사용 |
| 9042 | Cassandra - 클라이언트에서 Cassandra에 연결하는 데 사용 |
| 7199 | 내부 |
다음 단계
이 문서에서는 서비스를 적절하게 관리하기 위한 네트워크 규칙에 대해 알아보았습니다. 다음 문서를 사용하여 Apache Cassandra용 Azure SQL Managed Instance에 대해 자세히 알아봅니다.