Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Instância Gerenciada do Azure para Apache Cassandra requer determinadas regras de rede para gerenciar corretamente o serviço. Ao garantir que você tenha as regras adequadas expostas, você pode manter seu serviço seguro e evitar problemas operacionais.
Aviso
Tenha cuidado ao aplicar alterações às regras de firewall para um cluster existente. Por exemplo, se as regras não forem aplicadas corretamente, elas poderão não ser aplicadas a conexões existentes, portanto, pode parecer que as alterações de firewall não causaram problemas. No entanto, as atualizações automáticas dos nós da Instância Gerenciada do Azure para Apache Cassandra podem falhar mais tarde. Monitore a conectividade após as principais atualizações de firewall por algum tempo para garantir que não haja problemas.
Marcas de serviço de rede virtual
Se você usar uma VPN (rede virtual privada), não precisará abrir nenhuma outra conexão.
Se você usar o Firewall do Azure para restringir o acesso de saída, é altamente recomendável usar marcas de serviço de rede virtual. As marcas na tabela a seguir são necessárias para que a Instância Gerenciada de SQL do Azure para Apache Cassandra funcione corretamente.
| Marca de serviço de destino | Protocolo | Porta | Utilização |
|---|---|---|---|
Storage |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para a comunicação e a configuração do painel de controle. |
AzureKeyVault |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Azure Key Vault. Os certificados e as chaves são usados para proteger a comunicação dentro do cluster. |
EventHub |
HTTPS | 443 | Necessário para encaminhar logs para o Azure. |
AzureMonitor |
HTTPS | 443 | Necessário para encaminhar métricas para o Azure. |
AzureActiveDirectory |
HTTPS | 443 | Necessário para a autenticação do Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Necessário para coletar informações sobre e gerenciar nós do Cassandra (por exemplo, reinicialização). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Necessário para operações de registro em log. |
GuestAndHybridManagement |
HTTPS | 443 | Necessário para coletar informações sobre e gerenciar nós do Cassandra (por exemplo, reinicialização). |
ApiManagement |
HTTPS | 443 | Necessário para coletar informações sobre e gerenciar nós do Cassandra (por exemplo, reinicialização). |
Além da tabela de marcas, você precisa adicionar os seguintes prefixos de endereço porque uma marca de serviço não existe para o serviço relevante:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Rotas definidas pelo usuário
Se você estiver usando um firewall que não seja da Microsoft para restringir o acesso de saída, é altamente recomendável configurar UDRs (rotas definidas pelo usuário) para prefixos de endereço da Microsoft em vez de tentar permitir a conectividade por meio de seu próprio firewall. Para adicionar os prefixos de endereço necessários em UDRs, consulte o script Bash de exemplo.
Regras de rede exigidas globais do Azure
A tabela a seguir lista as regras de rede necessárias e as dependências de endereço IP.
| Ponto de extremidade de destino | Protocolo | Porta | Utilização |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443Ou ServiceTag – Armazenamento do Azure |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para a comunicação e a configuração do painel de controle. |
*.store.core.windows.net:443Ou ServiceTag – Armazenamento do Azure |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para a comunicação e a configuração do painel de controle. |
*.blob.core.windows.net:443Ou ServiceTag – Armazenamento do Azure |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Armazenamento do Microsoft Azure para armazenar os backups. A função de backup está sendo revisada e um padrão para o nome de armazenamento será adotado na disponibilidade geral. |
vmc-p-<region>.vault.azure.net:443Ou ServiceTag – Azure Key Vault |
HTTPS | 443 | Necessário para a comunicação segura entre os nós e o Azure Key Vault. Os certificados e as chaves são usados para proteger a comunicação dentro do cluster. |
management.azure.com:443Ou ServiceTag – Conjuntos de Dimensionamento de Máquinas Virtuais do Azure/API de Gerenciamento do Azure |
HTTPS | 443 | Necessário para coletar informações sobre e gerenciar nós do Cassandra (por exemplo, reinicialização). |
*.servicebus.windows.net:443Ou ServiceTag – Hubs de Eventos do Azure |
HTTPS | 443 | Necessário para encaminhar logs para o Azure. |
jarvis-west.dc.ad.msft.net:443Ou ServiceTag – Azure Monitor |
HTTPS | 443 | Necessário para encaminhar métricas para o Azure. |
login.microsoftonline.com:443Ou ServiceTag – ID do Microsoft Entra |
HTTPS | 443 | Necessário para a autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Necessário para atualizações na definição e assinaturas do verificador de segurança do Azure. |
azure.microsoft.com |
HTTPS | 443 | Necessário para obter informações sobre conjuntos de dimensionar máquinas virtuais. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certificado para registro em log. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Ponto de extremidade de log necessário para registro em log. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Essencial para as métricas. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Necessário para baixar/atualizar o verificador de segurança. |
crl.microsoft.com |
HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft. |
Acesso DNS
O sistema usa nomes DNS (Sistema de Nomes de Domínio) para alcançar os serviços do Azure descritos neste artigo para que ele possa usar balanceadores de carga. Por esse motivo, a rede virtual deve executar um servidor DNS que possa resolver esses endereços. As máquinas virtuais na rede virtual respeitam o servidor de nomes que é comunicado por meio do protocolo DHCP.
Na maioria dos casos, o Azure configura automaticamente um servidor DNS para a rede virtual. Se essa ação não ocorrer em seu cenário, os nomes DNS descritos neste artigo serão um bom guia para começar.
Uso interno da porta
As portas a seguir são acessíveis somente dentro da rede virtual (ou redes virtuais emparelhadas/rotas expressas). As instâncias da Instância Gerenciada do Azure para Apache Cassandra não têm um IP público e não devem ser tornadas acessíveis na Internet.
| Porta | Utilização |
|---|---|
| 8443 | Interno. |
| 9443 | Interno. |
| 7001 | Gossip: para os nós do Cassandra se comunicarem entre si. |
| 9042 | Cassandra: Usado por usuários para conectar ao Cassandra. |
| 7199 | Interno. |
Conteúdo relacionado
Neste artigo, você aprendeu sobre as regras de rede para gerenciar corretamente o serviço. Saiba mais sobre a Instância Gerenciada de SQL do Azure para Apache Cassandra com os seguintes artigos: