Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządzane wystąpienie platformy Azure dla usługi Apache Cassandra wymaga pewnych reguł sieciowych do prawidłowego zarządzania usługą. Dzięki upewnieniu się, że masz uwidocznione odpowiednie reguły, możesz zachować bezpieczeństwo usługi i zapobiec problemom operacyjnym.
Ostrzeżenie
Zachowaj ostrożność podczas stosowania zmian w regułach zapory dla istniejącego klastra. Jeśli na przykład reguły nie są poprawnie stosowane, mogą nie być stosowane do istniejących połączeń, więc może się okazać, że zmiany zapory nie spowodowały żadnych problemów. Jednak automatyczne aktualizacje wystąpienia zarządzanego platformy Azure dla węzłów apache Cassandra mogą zakończyć się niepowodzeniem później. Monitoruj łączność przez pewien czas po wszelkich głównych aktualizacjach zapory sieciowej, aby upewnić się, że nie ma żadnych problemów.
Tagi usług sieci wirtualnej
Jeśli używasz wirtualnej sieci prywatnej (VPN), nie musisz otwierać żadnego innego połączenia.
Jeśli używasz usługi Azure Firewall do ograniczania dostępu wychodzącego, zdecydowanie zalecamy używanie tagów usługi sieci wirtualnej. Tagi w poniższej tabeli są wymagane do prawidłowego działania usługi Azure SQL Managed Instance dla usługi Apache Cassandra.
| Docelowy tag usługi | Protokół | Port | Użyj |
|---|---|---|---|
Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
AzureKeyVault |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Key Vault. Certyfikaty i klucze służą do zabezpieczania komunikacji wewnątrz klastra. |
EventHub |
HTTPS | 443 | Wymagane do przekazywania dzienników na platformę Azure. |
AzureMonitor |
HTTPS | 443 | Wymagane do przekazywania metryk na platformę Azure. |
AzureActiveDirectory |
HTTPS | 443 | Wymagane do uwierzytelniania Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Wymagane do operacji rejestrowania zdarzeń. |
GuestAndHybridManagement |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
ApiManagement |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
Oprócz tabeli tagów należy dodać następujące prefiksy adresów, ponieważ tag usługi nie istnieje dla odpowiedniej usługi:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Trasy zdefiniowane przez użytkownika
Jeśli używasz zapory innej niż Microsoft w celu ograniczenia dostępu wychodzącego, zdecydowanie zalecamy skonfigurowanie tras zdefiniowanych przez użytkownika (UDR) dla prefiksów adresów firmy Microsoft zamiast próby zezwolenia na łączność za pośrednictwem własnej zapory. Aby dodać wymagane prefiksy adresów w UDR (trasach zdefiniowanych przez użytkownika), zapoznaj się z przykładowym skryptem powłoki Bash.
Globalne reguły sieci wymagane na platformie Azure
W poniższej tabeli wymieniono wymagane reguły sieci i zależności adresów IP.
| Docelowy punkt końcowy | Protokół | Port | Użyj |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
*.store.core.windows.net:443
Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
*.blob.core.windows.net:443
Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage do przechowywania kopii zapasowych. Funkcja tworzenia kopii zapasowej jest aktualizowana, a wzorzec nazywania magazynu zostanie ustalony w miarę ogólnej dostępności. |
vmc-p-<region>.vault.azure.net:443
(Tylko dla północnych ZEA: vmc-pame-uaenorth.vault.azure.net:443) Or ServiceTag - Azure Key Vault |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Key Vault. Certyfikaty i klucze służą do zabezpieczania komunikacji wewnątrz klastra. |
issuer.pki.azure.com:443- Usługa zarządzania certyfikatami Azure |
HTTPS | 443 | Jest on wymagany do wystawiania i odnawiania certyfikatów. Upewnij się, że dowolna odpowiednia sieciowa grupa zabezpieczeń, zapora, tabela tras lub konfiguracja serwera proxy zezwala na dostęp wychodzący. |
management.azure.com:443
Lub ServiceTag — zestawy skalowania maszyn wirtualnych platformy Azure/interfejs API usługi Azure Management |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
*.servicebus.windows.net:443
Lub ServiceTag — Azure Event Hubs |
HTTPS | 443 | Wymagane do przekazywania dzienników na platformę Azure. |
jarvis-west.dc.ad.msft.net:443
Lub ServiceTag — Azure Monitor |
HTTPS | 443 | Wymagane do przekazywania metryk na platformę Azure. |
login.microsoftonline.com:443
Lub ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Wymagane do uwierzytelniania Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Wymagane w przypadku aktualizacji definicji i podpisów skanera zabezpieczeń platformy Azure. |
azure.microsoft.com |
HTTPS | 443 | Jest niezbędne do uzyskania informacji o skalowalnych zestawach maszyn wirtualnych. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certyfikat do rejestrowania. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Rejestrowanie punktu końcowego wymaganego do rejestrowania. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Wymagane do metryk |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Wymagane do pobrania/zaktualizowania skanera zabezpieczeń. |
crl.microsoft.com |
HTTPS | 443 | Wymagane do uzyskania dostępu do publicznych certyfikatów firmy Microsoft. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Wymagane do uzyskania dostępu do publicznych certyfikatów firmy Microsoft. |
*.warm.ingest.monitor.core.windows.net |
HTTPS | 443 | Geneva Ingestion Gateway — przekazywanie danych telemetrycznych zabezpieczeń pakietu Azure Security Pack |
*.pki.core.windows.net |
HTTPS | 443 | Microsoft PKI CDN — sprawdzanie statusu unieważnienia CRL/AIA dla certyfikatu platformy wystawionego przez firmę Microsoft |
Dostęp DNS
System używa nazw systemu nazw domen (DNS), aby uzyskać dostęp do usług platformy Azure opisanych w tym artykule, aby umożliwić korzystanie z modułów równoważenia obciążenia. Z tego powodu sieć wirtualna musi uruchomić serwer DNS, który może rozpoznać te adresy. Maszyny wirtualne w sieci wirtualnej uznają serwer nazw, który jest przekazywany za pośrednictwem protokołu dynamicznej konfiguracji hosta.
W większości przypadków platforma Azure automatycznie konfiguruje serwer DNS dla sieci wirtualnej. Jeśli ta akcja nie występuje w Twoim scenariuszu, nazwy DNS opisane w tym artykule są dobrym przewodnikiem, aby rozpocząć.
Użycie portów wewnętrznych
Następujące porty są dostępne tylko w ramach sieci wirtualnej (lub równorzędnych sieci wirtualnych/tras ekspresowych). Wystąpienia usługi Azure Managed Instance dla usługi Apache Cassandra nie mają publicznego adresu IP i nie powinny być dostępne w Internecie.
| Port | Użyj |
|---|---|
| 8443 | Wewnętrzny. |
| 9443 | Wewnętrzny. |
| 7001 | Mechanizm plotkowania: używany przez węzły Cassandra do wzajemnej komunikacji. |
| 9042 | Cassandra: używana do nawiązywania połączenia przez klientów z systemem Cassandra. |
| 7199 | Wewnętrzny. |
Treści powiązane
W tym artykule przedstawiono reguły sieci w celu prawidłowego zarządzania usługą. Dowiedz się więcej o usłudze Azure SQL Managed Instance for Apache Cassandra w następujących artykułach: