分享方式:


必要的輸出網路規則

Azure Managed Instance for Apache Cassandra 服務需要特定的網路規則,才能適當地管理服務。 藉由確保您已公開適當的規則,您可以讓服務受到保護,並防止作業問題。

警告

套用現有叢集的防火牆規則變更時,建議您小心謹慎。 例如,如果未正確套用規則,則可能不會將其套用至現有的連線,因此防火牆變更似乎並未造成任何問題。 不過,Cassandra 受控執行個體節點的自動更新後續可能會失敗。 建議您在任何主要防火牆更新之後監視連線一段時間,以確保沒有任何問題。

虛擬網路服務標籤

提示

如果您使用 VPN,則不必開啟任何其他連線。

若要使用 Azure 防火牆來限制輸出存取,則強烈建議您使用虛擬網路服務標記。 數據表中的標記必須正確 Azure SQL 受控執行個體 Apache Cassandra 函式。

目的地服務標記 通訊協定 Port 使用
儲存體 HTTPS 443 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。
AzureKeyVault HTTPS 443 需要此項目才能讓節點與 Azure Key Vault 安全地通訊。 會使用憑證和金鑰來保護叢集內的通訊。
EventHub HTTPS 443 需要此項目才能將記錄轉送至 Azure
AzureMonitor HTTPS 443 需要此項目才能將計量轉送至 Azure
AzureActiveDirectory HTTPS 443 Microsoft Entra 驗證需要此項目。
AzureResourceManager HTTPS 443 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機)
AzureFrontDoor.Firstparty HTTPS 443 需要此項目才能進行記錄作業。
GuestAndHybridManagement HTTPS 443 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機)
ApiManagement HTTPS 443 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機)

注意

除了標記數據表之外,您還需要新增下列位址前綴,因為相關服務的服務標籤不存在:104.40.0.0/13 13.104.0.0/14 40.64.0.0/10

使用者定義的路由

如果您使用非Microsoft防火牆來限制輸出存取,強烈建議您 為Microsoft地址前綴設定使用者定義的路由(UDR), 而不是嘗試允許透過您自己的防火牆進行連線。 請參閱範例 bash 指令碼,以在使用者定義的路由中新增所需的位址首碼。

Azure 全域所需的網路規則

所需的網路規則和 IP 位址相依性如下:

目的地端點 通訊協定 Port 使用
snovap<region.blob.core.windows.net:443
> Or
ServiceTag - Azure 儲存體
HTTPS 443 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。
*.store.core.windows.net:443
Or
ServiceTag - Azure 儲存體
HTTPS 443 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。
*.blob.core.windows.net:443
Or
ServiceTag - Azure 儲存體
HTTPS 443 需要此項目才能讓節點與 Azure 儲存體安全地通訊以儲存備份。 正在修訂備份功能,記憶體名稱的模式後面接著 GA
vmc-p-region.vault.azure.net:443<>
Or
ServiceTag - Azure KeyVault
HTTPS 443 需要此項目才能讓節點與 Azure Key Vault 安全地通訊。 會使用憑證和金鑰來保護叢集內的通訊。

management.azure.com:443 或服務
Tag - Azure 虛擬機器擴展集/Azure 管理 API
HTTPS 443 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機)
*.servicebus.windows.net:443
或服務
Tag - Azure EventHub
HTTPS 443 需要此項目才能將記錄轉送至 Azure

jarvis-west.dc.ad.msft.net:443 或服務
Tag - Azure 監視器
HTTPS 443 需要此項目才能將計量轉送至 Azure

login.microsoftonline.com:443 或服務
Tag - Microsoft Entra ID
HTTPS 443 Microsoft Entra 驗證需要此項目。
packages.microsoft.com HTTPS 443 需要此項目才能更新 Azure 安全性掃描器定義和簽章
azure.microsoft.com HTTPS 443 需要此項目才能取得虛擬機器擴展集的相關資訊
<區域>-dsms.dsms.core.windows.net HTTPS 443 用於記錄的憑證
gcs.prod.monitoring.core.windows.net HTTPS 443 記錄所需的記錄端點
global.prod.microsoftmetrics.com HTTPS 443 計量需要此項目
shavsalinuxscanpkg.blob.core.windows.net HTTPS 443 需要此項目才能下載/更新安全性掃描器
crl.microsoft.com HTTPS 443 需要此項目才能存取公用 Microsoft 憑證
global-dsms.dsms.core.windows.net HTTPS 443 需要此項目才能存取公用 Microsoft 憑證

DNS 存取

系統會使用 DNS 名稱來連線到本文所述的 Azure 服務,如此才能使用負載平衡器。 因此,虛擬網路必須執行可以解析這些位址的 DNS 伺服器。 虛擬網路中的虛擬機器會接受透過 DHCP 通訊協定來進行通訊的名稱伺服器。 大部分情況下,Azure 會自動設定虛擬網路的 DNS 伺服器。 如果您的案例中未發生此情況,則本文所述的 DNS 名稱是合適的入門指南。

內部連接埠的使用方式

下列埠只能在虛擬網路記憶體取(或對等互連 vnets./express 路由)。 適用於 Apache Cassandra 的 Azure 受控執行個體 沒有公用 IP,因此不應該在因特網上存取。

連接埠 使用
8443 內部
9443 內部
7001 Gossip - Cassandra 節點會使用此連接埠來彼此通訊
9042 Cassandra -用戶端會使用此連接埠來連線到 Cassandra
7199 內部

下一步

在本文中,您已了解用來適當管理服務的網路規則。 請閱讀下列文章,以深入了解 Azure SQL Managed Instance for Apache Cassandra: