必要的輸出網路規則
Azure Managed Instance for Apache Cassandra 服務需要特定的網路規則,才能適當地管理服務。 藉由確保您已公開適當的規則,您可以讓服務受到保護,並防止作業問題。
警告
套用現有叢集的防火牆規則變更時,建議您小心謹慎。 例如,如果未正確套用規則,則可能不會將其套用至現有的連線,因此防火牆變更似乎並未造成任何問題。 不過,Cassandra 受控執行個體節點的自動更新後續可能會失敗。 建議您在任何主要防火牆更新之後監視連線一段時間,以確保沒有任何問題。
虛擬網路服務標籤
提示
如果您使用 VPN,則不必開啟任何其他連線。
若要使用 Azure 防火牆來限制輸出存取,則強烈建議您使用虛擬網路服務標記。 數據表中的標記必須正確 Azure SQL 受控執行個體 Apache Cassandra 函式。
| 目的地服務標記 | 通訊協定 | Port | 使用 |
|---|---|---|---|
| 儲存體 | HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。 |
| AzureKeyVault | HTTPS | 443 | 需要此項目才能讓節點與 Azure Key Vault 安全地通訊。 會使用憑證和金鑰來保護叢集內的通訊。 |
| EventHub | HTTPS | 443 | 需要此項目才能將記錄轉送至 Azure |
| AzureMonitor | HTTPS | 443 | 需要此項目才能將計量轉送至 Azure |
| AzureActiveDirectory | HTTPS | 443 | Microsoft Entra 驗證需要此項目。 |
| AzureResourceManager | HTTPS | 443 | 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | 需要此項目才能進行記錄作業。 |
| GuestAndHybridManagement | HTTPS | 443 | 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機) |
| ApiManagement | HTTPS | 443 | 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機) |
注意
除了標記數據表之外,您還需要新增下列位址前綴,因為相關服務的服務標籤不存在:104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
使用者定義的路由
如果您使用非Microsoft防火牆來限制輸出存取,強烈建議您 為Microsoft地址前綴設定使用者定義的路由(UDR), 而不是嘗試允許透過您自己的防火牆進行連線。 請參閱範例 bash 指令碼,以在使用者定義的路由中新增所需的位址首碼。
Azure 全域所需的網路規則
所需的網路規則和 IP 位址相依性如下:
| 目的地端點 | 通訊協定 | Port | 使用 |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。 |
| *.store.core.windows.net:443 Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊,以便完成控制平面的通訊和設定。 |
| *.blob.core.windows.net:443 Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要此項目才能讓節點與 Azure 儲存體安全地通訊以儲存備份。 正在修訂備份功能,記憶體名稱的模式後面接著 GA |
| vmc-p-region.vault.azure.net:443<> Or ServiceTag - Azure KeyVault |
HTTPS | 443 | 需要此項目才能讓節點與 Azure Key Vault 安全地通訊。 會使用憑證和金鑰來保護叢集內的通訊。 |
management.azure.com:443 或服務 Tag - Azure 虛擬機器擴展集/Azure 管理 API |
HTTPS | 443 | 需要此項目才能收集 Cassandra 節點的相關資訊並進行管理 (例如重新開機) |
| *.servicebus.windows.net:443 或服務 Tag - Azure EventHub |
HTTPS | 443 | 需要此項目才能將記錄轉送至 Azure |
jarvis-west.dc.ad.msft.net:443 或服務 Tag - Azure 監視器 |
HTTPS | 443 | 需要此項目才能將計量轉送至 Azure |
login.microsoftonline.com:443 或服務 Tag - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 驗證需要此項目。 |
| packages.microsoft.com | HTTPS | 443 | 需要此項目才能更新 Azure 安全性掃描器定義和簽章 |
| azure.microsoft.com | HTTPS | 443 | 需要此項目才能取得虛擬機器擴展集的相關資訊 |
| <區域>-dsms.dsms.core.windows.net | HTTPS | 443 | 用於記錄的憑證 |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 記錄所需的記錄端點 |
| global.prod.microsoftmetrics.com | HTTPS | 443 | 計量需要此項目 |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | 需要此項目才能下載/更新安全性掃描器 |
| crl.microsoft.com | HTTPS | 443 | 需要此項目才能存取公用 Microsoft 憑證 |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | 需要此項目才能存取公用 Microsoft 憑證 |
DNS 存取
系統會使用 DNS 名稱來連線到本文所述的 Azure 服務,如此才能使用負載平衡器。 因此,虛擬網路必須執行可以解析這些位址的 DNS 伺服器。 虛擬網路中的虛擬機器會接受透過 DHCP 通訊協定來進行通訊的名稱伺服器。 大部分情況下,Azure 會自動設定虛擬網路的 DNS 伺服器。 如果您的案例中未發生此情況,則本文所述的 DNS 名稱是合適的入門指南。
內部連接埠的使用方式
下列埠只能在虛擬網路記憶體取(或對等互連 vnets./express 路由)。 適用於 Apache Cassandra 的 Azure 受控執行個體 沒有公用 IP,因此不應該在因特網上存取。
| 連接埠 | 使用 |
|---|---|
| 8443 | 內部 |
| 9443 | 內部 |
| 7001 | Gossip - Cassandra 節點會使用此連接埠來彼此通訊 |
| 9042 | Cassandra -用戶端會使用此連接埠來連線到 Cassandra |
| 7199 | 內部 |
下一步
在本文中,您已了解用來適當管理服務的網路規則。 請閱讀下列文章,以深入了解 Azure SQL Managed Instance for Apache Cassandra: