Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zarządzane wystąpienie platformy Azure dla usługi Apache Cassandra wymaga pewnych reguł sieciowych do prawidłowego zarządzania usługą. Dzięki upewnieniu się, że masz uwidocznione odpowiednie reguły, możesz zachować bezpieczeństwo usługi i zapobiec problemom operacyjnym.
Ostrzeżenie
Zachowaj ostrożność podczas stosowania zmian w regułach zapory dla istniejącego klastra. Jeśli na przykład reguły nie są poprawnie stosowane, mogą nie być stosowane do istniejących połączeń, więc może się okazać, że zmiany zapory nie spowodowały żadnych problemów. Jednak automatyczne aktualizacje wystąpienia zarządzanego platformy Azure dla węzłów apache Cassandra mogą zakończyć się niepowodzeniem później. Monitoruj łączność przez pewien czas po wszelkich głównych aktualizacjach zapory sieciowej, aby upewnić się, że nie ma żadnych problemów.
Tagi usługi sieci wirtualnej
Jeśli używasz wirtualnej sieci prywatnej (VPN), nie musisz otwierać żadnego innego połączenia.
Jeśli używasz usługi Azure Firewall do ograniczania dostępu wychodzącego, zdecydowanie zalecamy używanie tagów usługi sieci wirtualnej. Tagi w poniższej tabeli są wymagane do prawidłowego działania usługi Azure SQL Managed Instance dla usługi Apache Cassandra.
| Docelowy tag usługi | Protokół | Port | Używanie |
|---|---|---|---|
Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
AzureKeyVault |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Key Vault. Certyfikaty i klucze służą do zabezpieczania komunikacji wewnątrz klastra. |
EventHub |
HTTPS | 443 | Wymagane do przekazywania dzienników na platformę Azure. |
AzureMonitor |
HTTPS | 443 | Wymagane do przekazywania metryk na platformę Azure. |
AzureActiveDirectory |
HTTPS | 443 | Wymagane do uwierzytelniania entra firmy Microsoft. |
AzureResourceManager |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Wymagane do operacji rejestrowania. |
GuestAndHybridManagement |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
ApiManagement |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
Oprócz tabeli tagów należy dodać następujące prefiksy adresów, ponieważ tag usługi nie istnieje dla odpowiedniej usługi:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Trasy zdefiniowane przez użytkownika
Jeśli używasz zapory innej niż Microsoft w celu ograniczenia dostępu wychodzącego, zdecydowanie zalecamy skonfigurowanie tras zdefiniowanych przez użytkownika (UDR) dla prefiksów adresów firmy Microsoft zamiast próby zezwolenia na łączność za pośrednictwem własnej zapory. Aby dodać wymagane prefiksy adresów w UDR (trasach zdefiniowanych przez użytkownika), zapoznaj się z przykładowym skryptem powłoki Bash.
Globalne reguły sieci wymagane na platformie Azure
W poniższej tabeli wymieniono wymagane reguły sieci i zależności adresów IP.
| Docelowy punkt końcowy | Protokół | Port | Używanie |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
*.store.core.windows.net:443
Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage na potrzeby komunikacji i konfiguracji płaszczyzny sterowania. |
*.blob.core.windows.net:443
Lub ServiceTag — Azure Storage |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Storage do przechowywania kopii zapasowych. Funkcja tworzenia kopii zapasowej jest aktualizowana, a wzorzec nazywania magazynu zostanie ustalony w miarę ogólnej dostępności. |
vmc-p-<region>.vault.azure.net:443
Lub ServiceTag — Azure Key Vault |
HTTPS | 443 | Wymagana do bezpiecznej komunikacji między węzłami i usługą Azure Key Vault. Certyfikaty i klucze służą do zabezpieczania komunikacji wewnątrz klastra. |
management.azure.com:443
Lub ServiceTag — zestawy skalowania maszyn wirtualnych platformy Azure/interfejs API usługi Azure Management |
HTTPS | 443 | Wymagane do zebrania informacji o węzłach Cassandra i zarządzaniu nimi (na przykład ponowne uruchomienie). |
*.servicebus.windows.net:443
Lub ServiceTag — Azure Event Hubs |
HTTPS | 443 | Wymagane do przekazywania dzienników na platformę Azure. |
jarvis-west.dc.ad.msft.net:443
Lub ServiceTag — Azure Monitor |
HTTPS | 443 | Wymagane do przekazywania metryk na platformę Azure. |
login.microsoftonline.com:443
Lub ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Wymagane do uwierzytelniania entra firmy Microsoft. |
packages.microsoft.com |
HTTPS | 443 | Wymagane w przypadku aktualizacji definicji i podpisów skanera zabezpieczeń platformy Azure. |
azure.microsoft.com |
HTTPS | 443 | Jest niezbędne do uzyskania informacji o skalowalnych zestawach maszyn wirtualnych. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certyfikat do rejestrowania. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Rejestrowanie punktu końcowego wymaganego do rejestrowania. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Wymagane do metryk |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Wymagane do pobrania/zaktualizowania skanera zabezpieczeń. |
crl.microsoft.com |
HTTPS | 443 | Wymagane do uzyskania dostępu do publicznych certyfikatów firmy Microsoft. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Wymagane do uzyskania dostępu do publicznych certyfikatów firmy Microsoft. |
Dostęp DNS
System używa nazw systemu nazw domen (DNS), aby uzyskać dostęp do usług platformy Azure opisanych w tym artykule, aby umożliwić korzystanie z modułów równoważenia obciążenia. Z tego powodu sieć wirtualna musi uruchomić serwer DNS, który może rozpoznać te adresy. Maszyny wirtualne w sieci wirtualnej uznają serwer nazw, który jest przekazywany za pośrednictwem protokołu dynamicznej konfiguracji hosta.
W większości przypadków platforma Azure automatycznie konfiguruje serwer DNS dla sieci wirtualnej. Jeśli ta akcja nie występuje w Twoim scenariuszu, nazwy DNS opisane w tym artykule są dobrym przewodnikiem, aby rozpocząć.
Użycie portów wewnętrznych
Następujące porty są dostępne tylko w ramach sieci wirtualnej (lub równorzędnych sieci wirtualnych/tras ekspresowych). Wystąpienia usługi Azure Managed Instance dla usługi Apache Cassandra nie mają publicznego adresu IP i nie powinny być dostępne w Internecie.
| Port | Używanie |
|---|---|
| 8443 | Wewnętrzny. |
| 9443 | Wewnętrzny. |
| 7001 | Mechanizm plotkowania: używany przez węzły Cassandra do wzajemnej komunikacji. |
| 9042 | Cassandra: używana do nawiązywania połączenia przez klientów z systemem Cassandra. |
| 7199 | Wewnętrzny. |
Treści powiązane
W tym artykule przedstawiono reguły sieci w celu prawidłowego zarządzania usługą. Dowiedz się więcej o usłudze Azure SQL Managed Instance for Apache Cassandra, wykonując następujące artykuły:
- Co to jest wystąpienie zarządzane platformy Azure dla usługi Apache Cassandra?
- Zarządzanie wystąpieniem zarządzanym platformy Azure dla zasobów apache Cassandra przy użyciu interfejsu wiersza polecenia platformy Azure
- Używanie sieci VPN z wystąpieniem zarządzanym platformy Azure dla usługi Apache Cassandra