Gerekli giden ağ kuralları
Apache Casandra için Azure Yönetilen Örneği hizmeti düzgün bir şekilde yönetmek için belirli ağ kuralları gerektirir. Uygun kuralların kullanıma sunulduğundan emin olarak, hizmetinizin güvenliğini sağlayabilir ve operasyonel sorunları önleyebilirsiniz.
Sanal ağ hizmet etiketleri
Giden erişimi kısıtlamak için Azure Güvenlik Duvarı kullanıyorsanız, sanal ağ hizmet etiketlerini kullanmanızı kesinlikle öneririz. Aşağıda Apache Cassandra için Azure Yönetilen Örneği'nin düzgün çalışması için gereken etiketler yer almaktadır.
| Hedef Hizmet Etiketi | Protokol | Bağlantı noktası | Kullanın |
|---|---|---|---|
| Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ile Azure Depolama arasında güvenli iletişim için gereklidir. |
| AzureKeyVault | HTTPS | 443 | Düğümler ile Azure Key Vault arasında güvenli iletişim için gereklidir. Sertifikalar ve anahtarlar, küme içindeki iletişimin güvenliğini sağlamak için kullanılır. |
| EventHub | HTTPS | 443 | Günlükleri Azure'a iletmek için gereklidir |
| AzureMonitor | HTTPS | 443 | Ölçümleri Azure'a iletmek için gereklidir |
| AzureActiveDirectory | HTTPS | 443 | Azure Active Directory kimlik doğrulaması için gereklidir. |
| AzureResourceManager | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Günlüğe kaydetme işlemleri için gereklidir. |
| GuestAndHybridManagement | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| ApiManagement | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
Not
Yukarıdakilere ek olarak, ilgili hizmet için bir hizmet etiketi olmadığından aşağıdaki adres ön eklerini de eklemeniz gerekir: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Kullanıcı tanımlı yollar
Giden erişimi kısıtlamak için üçüncü taraf güvenlik duvarı kullanıyorsanız, kendi Güvenlik Duvarınız üzerinden bağlantıya izin vermek yerine Microsoft adres ön ekleri için kullanıcı tanımlı yolları (UDR) yapılandırmanızı kesinlikle öneririz. Kullanıcı tanımlı yollara gerekli adres ön eklerini eklemek için bkz. örnek bash betiği .
Azure Genel gerekli ağ kuralları
Gerekli ağ kuralları ve IP adresi bağımlılıkları şunlardır:
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanın |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443> OrServiceTag - Azure Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ile Azure Depolama arasında güvenli iletişim için gereklidir. |
| *.store.core.windows.net:443 veyaServiceTag - Azure Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ile Azure Depolama arasında güvenli iletişim için gereklidir. |
| *.blob.core.windows.net:443 veyaServiceTag - Azure Depolama | HTTPS | 443 | Yedekleri depolamak için düğümlerle Azure Depolama arasında güvenli iletişim için gereklidir. Yedekleme özelliği düzeltiliyor ve depolama adı GA'ya göre bir deseni izleyecek |
| vmc-p-region.vault.azure.net:443<> OrServiceTag - Azure KeyVault | HTTPS | 443 | Düğümler ile Azure Key Vault arasında güvenli iletişim için gereklidir. Sertifikalar ve anahtarlar, küme içindeki iletişimin güvenliğini sağlamak için kullanılır. |
| management.azure.com:443 veyaServiceTag - Azure Sanal Makine Ölçek Kümeleri/Azure Yönetim API'si | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| *.servicebus.windows.net:443 veyaServiceTag - Azure EventHub | HTTPS | 443 | Günlükleri Azure'a iletmek için gereklidir |
| jarvis-west.dc.ad.msft.net:443 VeyaServiceTag - Azure İzleyici | HTTPS | 443 | Azure ölçümlerini iletmek için gereklidir |
| login.microsoftonline.com:443 VeyaServiceTag - Azure AD | HTTPS | 443 | Azure Active Directory kimlik doğrulaması için gereklidir. |
| packages.microsoft.com | HTTPS | 443 | Azure güvenlik tarayıcısı tanımı ve imzaları güncelleştirmeleri için gereklidir |
| azure.microsoft.com | HTTPS | 443 | Sanal makine ölçek kümeleri hakkında bilgi almak için gereklidir |
| <bölge> dsms.dsms.core.windows.net | HTTPS | 443 | Günlüğe kaydetme sertifikası |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Günlüğe kaydetme için gereken günlüğe kaydetme uç noktası |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Ölçümler için gereklidir |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Güvenlik tarayıcısını indirmek/güncelleştirmek için gerekli |
| crl.microsoft.com | HTTPS | 443 | Genel Microsoft sertifikalarına erişmek için gereklidir |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Genel Microsoft sertifikalarına erişmek için gereklidir |
DNS erişimi
Sistem, yük dengeleyicileri kullanabilmesi için bu makalede açıklanan Azure hizmetlerine ulaşmak için DNS adlarını kullanır. Bu nedenle, sanal ağın bu adresleri çözümleyebilen bir DNS sunucusu çalıştırması gerekir. Sanal ağdaki sanal makineler, DHCP protokolü aracılığıyla iletişim kuran ad sunucusunu kabul eder. Çoğu durumda Azure, sanal ağ için otomatik olarak bir DNS sunucusu ayarlar. Bu durum senaryonuzda oluşmazsa, bu makalede açıklanan DNS adları kullanmaya başlamak için iyi bir kılavuzdur.
İç bağlantı noktası kullanımı
Aşağıdaki bağlantı noktalarına yalnızca sanal ağ (veya eşlenmiş sanal ağlar./express yolları) içinden erişilebilir. Apache Cassandra örnekleri için Yönetilen Örnek genel IP'ye sahip değildir ve İnternet üzerinden erişilebilir hale getirilmemelidir.
| Bağlantı noktası | Kullanın |
|---|---|
| 8443 | İç |
| 9443 | İç |
| 7001 | Dedikodu - Cassandra düğümleri tarafından birbirleriyle konuşmak için kullanılır |
| 9042 | Cassandra -İstemciler tarafından Cassandra'ya bağlanmak için kullanılır |
| 7199 | İç |
Sonraki adımlar
Bu makalede, hizmeti düzgün bir şekilde yönetmek için ağ kuralları hakkında bilgi edinmişsinizdir. Aşağıdaki makalelerle Apache Cassandra için Azure Yönetilen Örneği hakkında daha fazla bilgi edinin: