Gerekli giden ağ kuralları
Apache Cassandra için Azure Yönetilen Örneği hizmeti düzgün bir şekilde yönetmek için belirli ağ kurallarını gerektirir. Uygun kuralların kullanıma sunulduğundan emin olarak hizmetinizin güvenliğini sağlayabilir ve operasyonel sorunları önleyebilirsiniz.
Uyarı
Mevcut küme için güvenlik duvarı kurallarına değişiklik uygularken dikkatli olmanız önerilir. Örneğin, kurallar doğru uygulanmazsa, mevcut bağlantılara uygulanmayabilir, bu nedenle güvenlik duvarı değişikliklerinin herhangi bir soruna neden olmadığı görünebilir. Ancak Cassandra Yönetilen Örnek düğümlerinin otomatik güncelleştirmeleri daha sonra başarısız olabilir. Herhangi bir sorun olmadığından emin olmak için belirli bir süre için tüm önemli güvenlik duvarı güncelleştirmelerinin ardından bağlantıyı izlemenizi öneririz.
Sanal ağ hizmet etiketleri
İpucu
VPN kullanıyorsanız başka bir bağlantı açmanız gerekmez.
Giden erişimi kısıtlamak için Azure Güvenlik Duvarı kullanıyorsanız, sanal ağ hizmet etiketlerini kullanmanızı kesinlikle öneririz. Apache Cassandra işlevinin düzgün bir şekilde Azure SQL Yönetilen Örneği için tablodaki etiketler gereklidir.
| Hedef Hizmet Etiketi | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
| Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ile Azure Depolama arasında güvenli iletişim için gereklidir. |
| AzureKeyVault | HTTPS | 443 | Düğümler ve Azure Key Vault arasında güvenli iletişim için gereklidir. Sertifikalar ve anahtarlar, küme içindeki iletişimin güvenliğini sağlamak için kullanılır. |
| EventHub | HTTPS | 443 | Günlükleri Azure'a iletmek için gereklidir |
| AzureMonitor | HTTPS | 443 | Ölçümleri Azure'a iletmek için gereklidir |
| AzureActiveDirectory | HTTPS | 443 | Microsoft Entra kimlik doğrulaması için gereklidir. |
| AzureResourceManager | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Günlüğe kaydetme işlemleri için gereklidir. |
| GuestAndHybridManagement | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| ApiManagement | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
Not
Etiketler tablosuna ek olarak, ilgili hizmet için bir hizmet etiketi olmadığından aşağıdaki adres ön eklerini de eklemeniz gerekir: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Kullanıcı tanımlı yollar
Giden erişimi kısıtlamak için Microsoft dışı bir Güvenlik Duvarı kullanıyorsanız, kendi Güvenlik Duvarınız üzerinden bağlantıya izin vermek yerine Microsoft adres ön ekleri için kullanıcı tanımlı yolları (UDF) yapılandırmanızı kesinlikle öneririz. Kullanıcı tanımlı yollara gerekli adres ön eklerini eklemek için örnek bash betiğine bakın.
Azure Genel gerekli ağ kuralları
Gerekli ağ kuralları ve IP adresi bağımlılıkları şunlardır:
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanma |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443> OrServiceTag - Azure Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ile Azure Depolama arasında güvenli iletişim için gereklidir. |
| *.store.core.windows.net:443 VeyaServiceTag - Azure Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ile Azure Depolama arasında güvenli iletişim için gereklidir. |
| *.blob.core.windows.net:443 VeyaServiceTag - Azure Depolama | HTTPS | 443 | Düğümler ile Azure Depolama arasında yedeklemeleri depolamak için güvenli iletişim için gereklidir. Yedekleme özelliği düzeltiliyor ve ga tarafından takip edilen depolama adı deseni |
| vmc-p-region.vault.azure.net:443<> VeyaServiceTag - Azure KeyVault | HTTPS | 443 | Düğümler ve Azure Key Vault arasında güvenli iletişim için gereklidir. Sertifikalar ve anahtarlar, küme içindeki iletişimin güvenliğini sağlamak için kullanılır. |
| management.azure.com:443 veyaServiceTag - Azure Sanal Makine Ölçek Kümeleri/Azure Yönetim API'si | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| *.servicebus.windows.net:443 VeyaServiceTag - Azure EventHub | HTTPS | 443 | Günlükleri Azure'a iletmek için gereklidir |
| jarvis-west.dc.ad.msft.net:443 veyaServiceTag - Azure İzleyici | HTTPS | 443 | Ölçümleri Azure'a iletmek için gereklidir |
| login.microsoftonline.com:443 VeyaServiceTag - Microsoft Entra Id | HTTPS | 443 | Microsoft Entra kimlik doğrulaması için gereklidir. |
| packages.microsoft.com | HTTPS | 443 | Azure güvenlik tarayıcısı tanımı ve imzaları güncelleştirmeleri için gereklidir |
| azure.microsoft.com | HTTPS | 443 | Sanal makine ölçek kümeleri hakkında bilgi almak için gereklidir |
| <bölge> dsms.dsms.core.windows.net | HTTPS | 443 | Günlüğe kaydetme sertifikası |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Günlüğe kaydetme için gereken günlük uç noktası |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Ölçümler için gereklidir |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Güvenlik tarayıcısını indirmek/güncelleştirmek için gereklidir |
| crl.microsoft.com | HTTPS | 443 | Genel Microsoft sertifikalarına erişmek için gereklidir |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Genel Microsoft sertifikalarına erişmek için gereklidir |
DNS erişimi
Sistem, yük dengeleyicileri kullanabilmesi için bu makalede açıklanan Azure hizmetlerine ulaşmak için DNS adlarını kullanır. Bu nedenle, sanal ağın bu adresleri çözümleyebilecek bir DNS sunucusu çalıştırması gerekir. Sanal ağdaki sanal makineler, DHCP protokolü aracılığıyla iletişim kuran ad sunucusuna saygı gösterir. Çoğu durumda Azure, sanal ağ için otomatik olarak bir DNS sunucusu ayarlar. Bu durum senaryonuzda ortaya çıkmazsa, bu makalede açıklanan DNS adları kullanmaya başlamak için iyi bir kılavuzdur.
İç bağlantı noktası kullanımı
Aşağıdaki bağlantı noktalarına yalnızca sanal ağ içinden (veya eşlenmiş sanal ağlar./express routes) erişilebilir. Apache Cassandra için Azure Yönetilen Örnekleri genel IP'ye sahip değildir ve İnternet üzerinden erişilebilir hale getirilmemelidir.
| Bağlantı noktası | Kullanma |
|---|---|
| 8443 | İç |
| 9443 | İç |
| 7001 | Dedikodu - Cassandra düğümleri tarafından birbirleriyle konuşmak için kullanılır |
| 9042 | Cassandra -İstemciler tarafından Cassandra'ya bağlanmak için kullanılır |
| 7199 | İç |
Sonraki adımlar
Bu makalede, hizmeti düzgün bir şekilde yönetmek için ağ kuralları hakkında bilgi edinmişsinizdir. Aşağıdaki makalelerle Apache Cassandra için Azure SQL Yönetilen Örneği hakkında daha fazla bilgi edinin: