適用於 Apache Cassandra 的 Azure 受控實例需要特定網路規則,才能正確管理服務。 藉由確保您已公開適當的規則,您可以保護服務的安全,並防止作業問題。
警告
當您將變更套用至現有叢集的防火牆規則時,請小心。 例如,如果規則未正確套用,它們可能不會作用於現有的連線,因此防火牆的變更似乎並未造成任何問題。 不過,Apache Cassandra 節點的 Azure 受控實例自動更新稍後可能會失敗。 監視任何主要防火牆更新一段時間之後的連線能力,以確保沒有任何問題。
虛擬網路服務標籤
如果您使用 虛擬專用網(VPN),則不需要開啟任何其他連線。
如果您使用 Azure 防火牆來限制輸出存取,強烈建議您使用 虛擬網路服務標籤。 下表中的標籤需要讓適用於 Apache Cassandra 的 Azure SQL 受控實例正常運作。
| 目的地服務標記 | 通訊協定 | 港口 | 使用 |
|---|---|---|---|
Storage |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。 |
AzureKeyVault |
HTTPS | 443 | 需要此項目才能讓節點與 Azure Key Vault 安全地通訊。 會使用憑證和金鑰來保護叢集內的通訊。 |
EventHub |
HTTPS | 443 | 必須將記錄轉送至 Azure。 |
AzureMonitor |
HTTPS | 443 | 必須將度量轉送至 Azure。 |
AzureActiveDirectory |
HTTPS | 443 | Microsoft Entra 驗證需要此項目。 |
AzureResourceManager |
HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動)。 |
AzureFrontDoor.Firstparty |
HTTPS | 443 | 需要此項目才能進行記錄作業。 |
GuestAndHybridManagement |
HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動)。 |
ApiManagement |
HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動)。 |
除了標記數據表之外,您還需要新增下列位址前置詞,因為相關服務的服務標籤不存在:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
使用者定義的路由
如果您使用非Microsoft防火牆來限制輸出存取,強烈建議您為Microsoft地址前綴設定 使用者定義的路由(UDR), 而不是嘗試允許透過您自己的防火牆進行連線。 若要在 UDR 中新增必要的位址前置詞,請參閱 範例 Bash 腳本。
Azure 全域所需的網路規則
下表列出必要的網路規則和IP位址相依性。
| 目的地端點 | 通訊協定 | 港口 | 使用 |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443或 ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。 |
*.store.core.windows.net:443或 ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。 |
*.blob.core.windows.net:443Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊以儲存備份。 正在修訂備份功能,以及儲存體名稱的模式後面接著正式發行。 |
vmc-p-<region>.vault.azure.net:443或 ServiceTag - Azure Key Vault |
HTTPS | 443 | 需要此項目才能讓節點與 Azure Key Vault 安全地通訊。 會使用憑證和金鑰來保護叢集內的通訊。 |
management.azure.com:443或 ServiceTag - Azure 虛擬機器擴展集/Azure 管理 API |
HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動)。 |
*.servicebus.windows.net:443或 ServiceTag - Azure 事件中樞 |
HTTPS | 443 | 需要將日誌轉送至 Azure。 |
jarvis-west.dc.ad.msft.net:443Or ServiceTag - Azure 監視器 |
HTTPS | 443 | 需要將度量轉送至 Azure。 |
login.microsoftonline.com:443或 ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 驗證需要此項目。 |
packages.microsoft.com |
HTTPS | 443 | 需要更新 Azure 安全性掃描器定義和簽章。 |
azure.microsoft.com |
HTTPS | 443 | 需要取得虛擬機器擴展集的相關資訊。 |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | 用於記錄的憑證。 |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | 記錄記錄所需的端點。 |
global.prod.microsoftmetrics.com |
HTTPS | 443 | 計量需要。 |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | 需要下載/更新安全性掃描器。 |
crl.microsoft.com |
HTTPS | 443 | 需要存取公用Microsoft憑證。 |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | 需要存取公用Microsoft憑證。 |
DNS 存取
系統會使用域名系統 (DNS) 名稱來連線本文中所述的 Azure 服務,以便使用負載平衡器。 基於這個理由,虛擬網路必須執行可以解析這些位址的 DNS 伺服器。 虛擬網路中的虛擬機器會接受透過動態主機設定通訊協定進行通訊的名稱伺服器。
大部分情況下,Azure 會自動設定虛擬網路的 DNS 伺服器。 如果您的案例中未發生此動作,本文所述的 DNS 名稱是開始使用的好指南。
內部連接埠的使用方式
下列埠僅能在虛擬網路內(或對等虛擬網路/ExpressRoute)存取。 適用於 Apache Cassandra 的 Azure 受控實例實例沒有公用 IP,因此不應該在因特網上存取。
| 港口 | 使用 |
|---|---|
| 8443 | 內部。 |
| 9443 | 內部。 |
| 7001 | 八卦:Cassandra 節點用來彼此交談。 |
| 9042 | Cassandra:用戶端用來連線到 Cassandra。 |
| 7199 | 內部。 |
相關內容
在本文中,您已了解用來適當管理服務的網路規則。 請閱讀下列文章,以深入了解 Azure SQL Managed Instance for Apache Cassandra: