Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Для управляемого экземпляра Azure для Apache Cassandra требуются определенные сетевые правила для правильного управления службой. Убедитесь, что у вас есть необходимые правила, вы можете обеспечить безопасность службы и предотвратить операционные проблемы.
Предупреждение
Соблюдайте осторожность при применении изменений к правилам брандмауэра для существующего кластера. Например, если правила не применяются правильно, они могут не применяться к существующим подключениям, поэтому может показаться, что изменения брандмауэра не вызвали никаких проблем. Однако автоматические обновления управляемых экземпляров Azure для узлов Apache Cassandra могут позже приводить к ошибкам. Отслеживайте подключение после некоторых основных обновлений брандмауэра, чтобы убедиться, что проблемы отсутствуют.
Теги службы виртуальной сети
Если вы используете виртуальную частную сеть (VPN), вам не нужно открывать другое подключение.
Если брандмауэр Azure используется для ограничения исходящего доступа, настоятельно рекомендуется использовать теги службы виртуальной сети. Теги в следующей таблице необходимы для правильной работы Управляемого экземпляра SQL Azure для Apache Cassandra.
| Тег сервиса назначения | Протокол | Порт | Использование |
|---|---|---|---|
Storage |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для связи и настройки уровня управления. |
AzureKeyVault |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и Azure Key Vault. Сертификаты и ключи используются для защиты обмена данными внутри кластера. |
EventHub |
HTTPS | 443 | Требуется для пересылки журналов в Azure. |
AzureMonitor |
HTTPS | 443 | Требуется для пересылки метрик в Azure. |
AzureActiveDirectory |
HTTPS | 443 | Требуется для проверки подлинности Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Требуется для сбора сведений о узлах Cassandra и управлении ими (например, перезагрузка). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Требуется для операций ведения журнала. |
GuestAndHybridManagement |
HTTPS | 443 | Требуется для сбора сведений о узлах Cassandra и управлении ими (например, перезагрузка). |
ApiManagement |
HTTPS | 443 | Требуется для сбора сведений о узлах Cassandra и управлении ими (например, перезагрузка). |
В дополнение к таблице тегов необходимо добавить следующие префиксы адресов, так как тег службы не существует для соответствующей службы:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Определяемые пользователем маршруты
Если вы используете брандмауэр, отличный от Майкрософт, для ограничения исходящего доступа настоятельно рекомендуется настроить определяемые пользователем маршруты (UDR) для префиксов адресов Майкрософт, а не пытаться разрешить подключение через собственный брандмауэр. Чтобы добавить необходимые префиксы адресов в пользовательских маршрутах (UDR), см. пример скрипта Bash.
Глобальные обязательные правила сети Azure
В следующей таблице перечислены необходимые сетевые правила и зависимости IP-адресов.
| Конечная точка назначения | Протокол | Порт | Использование |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Или ServiceTag — служба хранилища Azure |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для связи и настройки уровня управления. |
*.store.core.windows.net:443
Или ServiceTag — служба хранилища Azure |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для связи и настройки уровня управления. |
*.blob.core.windows.net:443
Или ServiceTag — служба хранилища Azure |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для хранения резервных копий. Функция резервного копирования обновляется, а шаблон имени хранилища соответствует общей доступности. |
vmc-p-<region>.vault.azure.net:443
Или ServiceTag — Azure Key Vault |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и Azure Key Vault. Сертификаты и ключи используются для защиты обмена данными внутри кластера. |
management.azure.com:443
Или ServiceTag — масштабируемые наборы виртуальных машин Azure или API управления Azure |
HTTPS | 443 | Требуется для сбора сведений о узлах Cassandra и управлении ими (например, перезагрузка). |
*.servicebus.windows.net:443
Или ServiceTag — Центры событий Azure |
HTTPS | 443 | Требуется для пересылки журналов в Azure. |
jarvis-west.dc.ad.msft.net:443
Или ServiceTag — Azure Monitor |
HTTPS | 443 | Требуется для пересылки метрик в Azure. |
login.microsoftonline.com:443
Или ServiceTag — идентификатор Microsoft Entra |
HTTPS | 443 | Требуется для проверки подлинности Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Требуется для обновлений определения и подписей сканера безопасности Azure. |
azure.microsoft.com |
HTTPS | 443 | Требуется для получения сведений о масштабируемых наборах виртуальных машин. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Сертификат для логирования. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Конечная точка, необходимая для логирования. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Требуется для метрик. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Требуется для скачивания и обновления средства проверки безопасности. |
crl.microsoft.com |
HTTPS | 443 | Требуется для доступа к общедоступным сертификатам Майкрософт. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Требуется для доступа к общедоступным сертификатам Майкрософт. |
Доступ к DNS
Система использует dns-имена для доступа к службам Azure, описанным в этой статье, чтобы использовать подсистемы балансировки нагрузки. По этой причине виртуальная сеть должна запускать DNS-сервер, способный на разрешение этих адресов. Виртуальные машины в виртуальной сети учитывают DNS-сервер, который передается через протокол динамической конфигурации хоста.
В большинстве случаев Azure автоматически настраивает DNS-сервер для виртуальной сети. Если это действие не происходит в вашем сценарии, DNS-имена, описанные в этой статье, могут послужить хорошим руководством для начала.
Внутреннее использование портов
Следующие порты доступны только в виртуальной сети (или одноранговых виртуальных сетях или экспресс-маршрутах). Экземпляры Управляемого экземпляра Azure для Apache Cassandra не имеют общедоступного IP-адреса и не должны быть доступны в Интернете.
| Порт | Использование |
|---|---|
| 8443 | Внутренний. |
| 9443 | Внутренний. |
| 7001 | Gossip: Используется узлами Cassandra для взаимодействия друг с другом. |
| 9042. | Cassandra: используется клиентами для подключения к Cassandra. |
| 7199 | Внутренний. |
Связанный контент
Из этой статьи вы узнали о сетевых правилах для правильного управления службой. Дополнительные сведения о Управляемый экземпляр SQL Azure для Apache Cassandra см. в следующих статьях: