Apache Cassandra용 Azure Managed Instance는 서비스를 제대로 관리하기 위해 특정 네트워크 규칙이 필요합니다. 적절한 규칙이 노출되도록 하여 서비스를 안전하게 유지하고 운영 문제를 방지할 수 있습니다.
경고
기존 클러스터에 대한 방화벽 규칙에 변경 내용을 적용할 때는 주의해야 합니다. 예를 들어 규칙이 올바르게 적용되지 않으면 기존 연결에 적용되지 않을 수 있으므로 방화벽 변경으로 인해 문제가 발생하지 않는 것처럼 보일 수 있습니다. 그러나 Apache Cassandra 노드용 Azure Managed Instance의 자동 업데이트는 나중에 실패할 수 있습니다. 몇 시간 동안 주요 방화벽 업데이트 후 연결을 모니터링하여 문제가 없는지 확인합니다.
가상 네트워크 서비스 태그
VPN(가상 사설망)을 사용하는 경우 다른 연결을 열 필요가 없습니다.
Azure Firewall을 사용하여 아웃바운드 액세스를 제한하는 경우 가상 네트워크 서비스 태그를 사용하는 것이 좋습니다. 다음 표의 태그는 Apache Cassandra용 Azure SQL Managed Instance가 제대로 작동하도록 하는 데 필요합니다.
| 대상 서비스 태그 | 프로토콜 | 항구 | 사용 |
|---|---|---|---|
Storage |
HTTPS | 443 | 제어 평면 통신 및 구성을 위한 노드와 Azure Storage 간의 보안 통신에 필요합니다. |
AzureKeyVault |
HTTPS | 443 | 노드와 Azure Key Vault 간의 보안 통신에 필요합니다. 인증서 및 키는 클러스터 내부의 통신을 보호하는 데 사용됩니다. |
EventHub |
HTTPS | 443 | Azure에 로그를 전달하는 데 필요합니다. |
AzureMonitor |
HTTPS | 443 | Azure에 메트릭을 전달하는 데 필요합니다. |
AzureActiveDirectory |
HTTPS | 443 | Microsoft Entra 인증에 필요합니다. |
AzureResourceManager |
HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요합니다(예: 다시 부팅). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | 로깅 작업에 필요합니다. |
GuestAndHybridManagement |
HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요합니다(예: 다시 부팅). |
ApiManagement |
HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요합니다(예: 다시 부팅). |
태그 테이블 외에도 관련 서비스에 대한 서비스 태그가 없으므로 다음 주소 접두사를 추가해야 합니다.
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
사용자 정의 경로
비 Microsoft 방화벽을 사용하여 아웃바운드 액세스를 제한하는 경우 자체 방화벽을 통해 연결을 허용하는 대신 Microsoft 주소 접두사에 대한 UDR(사용자 정의 경로) 을 구성하는 것이 좋습니다. UDR에 필요한 주소 접두사를 추가하려면 샘플 Bash 스크립트를 참조하세요.
Azure 글로벌 필수 네트워크 규칙
다음 표에서는 필요한 네트워크 규칙 및 IP 주소 종속성을 나열합니다.
| 대상 엔드포인트 | 프로토콜 | 항구 | 사용 |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443또는 ServiceTag - Azure Storage |
HTTPS | 443 | 제어 평면 통신 및 구성을 위한 노드와 Azure Storage 간의 보안 통신에 필요합니다. |
*.store.core.windows.net:443또는 ServiceTag - Azure Storage |
HTTPS | 443 | 제어 평면 통신 및 구성을 위한 노드와 Azure Storage 간의 보안 통신에 필요합니다. |
*.blob.core.windows.net:443또는 ServiceTag - Azure Storage |
HTTPS | 443 | 노드와 백업을 저장하기 위해 노드와 Azure Storage 간의 보안 통신에 필요합니다. 백업 기능이 수정 중이며 스토리지 이름 패턴은 일반 공급과 함께 결정됩니다. |
vmc-p-<region>.vault.azure.net:443또는 ServiceTag - Azure Key Vault |
HTTPS | 443 | 노드와 Azure Key Vault 간의 보안 통신에 필요합니다. 인증서 및 키는 클러스터 내부의 통신을 보호하는 데 사용됩니다. |
management.azure.com:443또는 ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Cassandra 노드에 대한 정보를 수집하고 관리하는 데 필요합니다(예: 다시 부팅). |
*.servicebus.windows.net:443또는 ServiceTag - Azure Event Hubs |
HTTPS | 443 | Azure에 로그를 전달하는 데 필요합니다. |
jarvis-west.dc.ad.msft.net:443또는 ServiceTag - Azure Monitor |
HTTPS | 443 | Azure에 메트릭을 전달하는 데 필요합니다. |
login.microsoftonline.com:443또는 ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 인증에 필요합니다. |
packages.microsoft.com |
HTTPS | 443 | Azure 보안 스캐너 정의 및 서명을 업데이트하는 데 필요합니다. |
azure.microsoft.com |
HTTPS | 443 | 가상 머신 확장 집합에 대한 정보를 가져오는 데 필요합니다. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | 로깅을 위한 인증서입니다. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | 로깅에 필요한 로깅 엔드포인트입니다. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | 메트릭에 필요합니다. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | 보안 스캐너를 다운로드/업데이트하는 데 필요합니다. |
crl.microsoft.com |
HTTPS | 443 | 공용 Microsoft 인증서에 액세스하는 데 필요합니다. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | 공용 Microsoft 인증서에 액세스하는 데 필요합니다. |
DNS 액세스
시스템은 DNS(도메인 이름 시스템) 이름을 사용하여 부하 분산 장치를 사용할 수 있도록 이 문서에 설명된 Azure 서비스에 연결합니다. 이러한 이유로 가상 네트워크는 해당 주소를 확인할 수 있는 DNS 서버를 실행해야 합니다. 가상 네트워크의 가상 머신은 Dynamic Host Configuration Protocol을 통해 전달되는 이름 서버를 인식합니다.
대부분의 경우 Azure는 가상 네트워크에 대한 DNS 서버를 자동으로 설정합니다. 시나리오에서 이 작업이 발생하지 않는 경우, 이 문서에 설명된 DNS 이름은 시작하는 데 유용한 지침이 됩니다.
내부 포트 사용
다음 포트는 가상 네트워크(또는 피어된 가상 네트워크/express 경로) 내에서만 액세스할 수 있습니다. Apache Cassandra용 Azure Managed Instance 인스턴스에는 공용 IP가 없으며 인터넷에서 액세스할 수 없습니다.
| 항구 | 사용 |
|---|---|
| 8443 | 내부. |
| 9443 | 내부. |
| 7001 | 가십: Cassandra 노드에서 서로 이야기하는 데 사용됩니다. |
| 9042 | Cassandra: 클라이언트에서 Cassandra에 연결하는 데 사용됩니다. |
| 7199 | 내부. |
관련 콘텐츠
이 문서에서는 서비스를 적절하게 관리하기 위한 네트워크 규칙에 대해 알아보았습니다. 다음 문서를 사용하여 Apache Cassandra용 Azure SQL Managed Instance에 대해 자세히 알아봅니다.