Nödvändiga regler för utgående nätverk
Azure Managed Instance för Apache Cassandra-tjänsten kräver vissa nätverksregler för att hantera tjänsten korrekt. Genom att se till att du har rätt regler exponerade kan du skydda din tjänst och förhindra driftsproblem.
Varning
Vi rekommenderar att du är försiktig när du tillämpar ändringar i brandväggsregler för ett befintligt kluster. Om reglerna till exempel inte tillämpas korrekt kanske de inte tillämpas på befintliga anslutningar, så det kan verka som om brandväggsändringar inte har orsakat några problem. Automatiska uppdateringar av noderna för Cassandra Managed Instance kan dock misslyckas senare. Vi rekommenderar att du övervakar anslutningen efter några större brandväggsuppdateringar under en viss tid för att säkerställa att det inte finns några problem.
Tjänsttaggar för virtuellt nätverk
Dricks
Om du använder VPN behöver du inte öppna någon annan anslutning.
Om du använder Azure Firewall för att begränsa utgående åtkomst rekommenderar vi starkt att du använder tjänsttaggar för virtuella nätverk. Taggarna i tabellen krävs för att Azure SQL Managed Instance för Apache Cassandra ska fungera korrekt.
| Måltjänsttagg | Protokoll | Port | Använd |
|---|---|---|---|
| Lagring | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
| AzureKeyVault | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret. |
| EventHub | HTTPS | 443 | Krävs för att vidarebefordra loggar till Azure |
| AzureMonitor | HTTPS | 443 | Krävs för att vidarebefordra mått till Azure |
| AzureActiveDirectory | HTTPS | 443 | Krävs för Microsoft Entra-autentisering. |
| AzureResourceManager | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Krävs för loggningsåtgärder. |
| GuestAndHybridManagement | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
| ApiManagement | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
Kommentar
Förutom tabellen taggar måste du också lägga till följande adressprefix eftersom det inte finns någon tjänsttagg för den relevanta tjänsten: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Användardefinierade vägar
Om du använder en icke-Microsoft-brandvägg för att begränsa utgående åtkomst rekommenderar vi starkt att du konfigurerar användardefinierade vägar (UDR) för Microsoft-adressprefix i stället för att försöka tillåta anslutning via din egen brandvägg. Se bash-exempelskript för att lägga till nödvändiga adressprefix i användardefinierade vägar.
Nätverksregler som krävs för Azure Global
De nätverksregler och IP-adressberoenden som krävs är:
| Målslutpunkt | Protokoll | Port | Använd |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Eller ServiceTag – Azure Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
| *.store.core.windows.net:443 Eller ServiceTag – Azure Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
| *.blob.core.windows.net:443 Eller ServiceTag – Azure Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för lagring av säkerhetskopior. Säkerhetskopieringsfunktionen håller på att revideras och ett mönster för lagringsnamn följer av GA |
| vmc-p-region.vault.azure.net:443<> Or ServiceTag – Azure KeyVault |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret. |
management.azure.com:443 Eller ServiceTag – Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
| *.servicebus.windows.net:443 Eller ServiceTag – Azure EventHub |
HTTPS | 443 | Krävs för att vidarebefordra loggar till Azure |
jarvis-west.dc.ad.msft.net:443 eller ServiceTag – Azure Monitor |
HTTPS | 443 | Krävs för att vidarebefordra mått i Azure |
login.microsoftonline.com:443 eller ServiceTag – Microsoft Entra-ID |
HTTPS | 443 | Krävs för Microsoft Entra-autentisering. |
| packages.microsoft.com | HTTPS | 443 | Krävs för uppdateringar av Definition och signaturer för Azure-säkerhetsskanner |
| azure.microsoft.com | HTTPS | 443 | Krävs för att få information om VM-skalningsuppsättningar |
| <region-dsms.dsms.core.windows.net> | HTTPS | 443 | Certifikat för loggning |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Loggningsslutpunkt krävs för loggning |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Behövs för mått |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Krävs för att ladda ned/uppdatera säkerhetsskannern |
| crl.microsoft.com | HTTPS | 443 | Krävs för att få åtkomst till offentliga Microsoft-certifikat |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Krävs för att få åtkomst till offentliga Microsoft-certifikat |
DNS-åtkomst
Systemet använder DNS-namn för att nå de Azure-tjänster som beskrivs i den här artikeln så att det kan använda lastbalanserare. Därför måste det virtuella nätverket köra en DNS-server som kan matcha dessa adresser. De virtuella datorerna i det virtuella nätverket respekterar den namnserver som kommuniceras via DHCP-protokollet. I de flesta fall konfigurerar Azure automatiskt en DNS-server för det virtuella nätverket. Om detta inte sker i ditt scenario är DNS-namnen som beskrivs i den här artikeln en bra guide för att komma igång.
Intern portanvändning
Följande portar är endast tillgängliga i det virtuella nätverket (eller peerkopplade virtuella nätverk./expressvägar). Azure Managed Instances för Apache Cassandra har ingen offentlig IP-adress och bör inte göras tillgänglig på Internet.
| Port | Använd |
|---|---|
| 8443 | Intern |
| 9443 | Intern |
| 7001 | Gossip – Används av Cassandra-noder för att prata med varandra |
| 9042 | Cassandra – används av klienter för att ansluta till Cassandra |
| 7199 | Intern |
Nästa steg
I den här artikeln har du lärt dig om nätverksregler för att hantera tjänsten korrekt. Läs mer om Azure SQL Managed Instance för Apache Cassandra med följande artiklar: