必要的輸出網路規則
適用於 Apache Cassandra 服務的 Azure 受控執行個體 需要特定網路規則才能正確管理服務。 藉由確保您已公開適當的規則,您可以保護服務的安全,並防止作業問題。
警告
針對現有叢集套用防火牆規則的變更時,建議您小心謹慎。 例如,如果規則未正確套用,它們可能不會套用至現有的連線,因此防火牆變更似乎並未造成任何問題。 不過,Cassandra 受控執行個體 節點的自動更新後續可能會失敗。 建議您在任何主要防火牆更新之後監視連線一段時間,以確保沒有任何問題。
虛擬網路服務標籤
提示
如果您使用 VPN ,則不需要開啟任何其他連線。
如果您使用 Azure 防火牆 來限制輸出存取,強烈建議使用虛擬網路服務標籤。 數據表中的標記必須正確 Azure SQL 受控執行個體 Apache Cassandra 函式。
目的地服務標記 | 通訊協定 | 連接埠 | 使用 |
---|---|---|---|
儲存體 | HTTPS | 443 | 節點與控制平面通訊和組態 Azure 儲存體 之間安全通訊的必要專案。 |
AzureKeyVault | HTTPS | 443 | 節點與 Azure 金鑰保存庫 之間安全通訊的必要專案。 憑證和金鑰可用來保護叢集內部的通訊。 |
EventHub | HTTPS | 443 | 將記錄轉送至 Azure 的必要專案 |
AzureMonitor | HTTPS | 443 | 將計量轉送至 Azure 的必要專案 |
AzureActiveDirectory | HTTPS | 443 | Microsoft Entra 驗證的必要專案。 |
AzureResourceManager | HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動) |
AzureFrontDoor.Firstparty | HTTPS | 443 | 記錄作業的必要專案。 |
GuestAndHybridManagement | HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動) |
ApiManagement | HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動) |
注意
除了標記數據表之外,您還需要新增下列位址前綴,因為相關服務的服務標籤不存在:104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
使用者定義的路由
如果您使用非 Microsoft 防火牆來限制輸出存取,強烈建議您 設定 Microsoft 位址前綴的使用者定義路由(UDR), 而不是嘗試允許透過您自己的防火牆進行連線。 請參閱範例 bash腳本 ,以在使用者定義的路由中新增必要的位址前置詞。
Azure 全域必要網路規則
所需的網路規則和IP位址相依性如下:
目的地端點 | 通訊協定 | 連接埠 | 使用 |
---|---|---|---|
snovap<region.blob.core.windows.net:443 > Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 節點與控制平面通訊和設定 Azure 儲存體 之間安全通訊的必要專案。 |
*.store.core.windows.net:443 Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 節點與控制平面通訊和設定 Azure 儲存體 之間安全通訊的必要專案。 |
*.blob.core.windows.net:443 Or ServiceTag - Azure 儲存體 |
HTTPS | 443 | 需要節點與 Azure 儲存體 之間的安全通訊,才能儲存備份。 正在修訂備份功能,記憶體名稱的模式後面接著 GA |
vmc-p-region.vault.azure.net:443<> Or ServiceTag - Azure KeyVault |
HTTPS | 443 | 節點與 Azure 金鑰保存庫 之間安全通訊的必要專案。 憑證和金鑰可用來保護叢集內部的通訊。 |
management.azure.com:443 或服務 Tag - Azure 虛擬機器擴展集/Azure 管理 API |
HTTPS | 443 | 需要收集及管理 Cassandra 節點的相關信息(例如重新啟動) |
*.servicebus.windows.net:443 Or ServiceTag - Azure EventHub |
HTTPS | 443 | 將記錄轉送至 Azure 的必要專案 |
jarvis-west.dc.ad.msft.net:443 或服務 Tag - Azure 監視器 |
HTTPS | 443 | 轉送計量 Azure 的必要專案 |
login.microsoftonline.com:443 或服務 標記 - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 驗證的必要專案。 |
packages.microsoft.com | HTTPS | 443 | 需要更新 Azure 安全性掃描器定義和簽章 |
azure.microsoft.com | HTTPS | 443 | 取得虛擬機擴展集相關信息的必要專案 |
<region-dsms.dsms.core.windows.net> | HTTPS | 443 | 用於記錄的憑證 |
gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 記錄所需的記錄端點 |
global.prod.microsoftmetrics.com | HTTPS | 443 | 計量所需的計量 |
shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | 需要下載/更新安全性掃描器 |
crl.microsoft.com | HTTPS | 443 | 存取公用 Microsoft 憑證所需的憑證 |
global-dsms.dsms.core.windows.net | HTTPS | 443 | 存取公用 Microsoft 憑證所需的憑證 |
DNS 存取
系統會使用 DNS 名稱來觸達本文所述的 Azure 服務,以便使用負載平衡器。 因此,虛擬網路必須執行可以解析這些位址的 DNS 伺服器。 虛擬網路中的虛擬機會接受透過 DHCP 通訊協定進行通訊的名稱伺服器。 在大部分情況下,Azure 會自動設定虛擬網路的 DNS 伺服器。 如果您的案例中未發生此情況,本文中所述的 DNS 名稱是開始使用的好指南。
內部埠使用量
下列埠只能在虛擬網路記憶體取(或對等互連 vnets./express 路由)。 適用於 Apache Cassandra 的 Azure 受控執行個體 沒有公用 IP,因此不應該在因特網上存取。
連接埠 | 使用 |
---|---|
8443 | 內部 |
9443 | 內部 |
7001 | 八卦 - 由 Cassandra 節點用來彼此交談 |
9042 | Cassandra -用戶端用來連線到 Cassandra |
7199 | 內部 |
下一步
在本文中,您已了解網路規則以正確管理服務。 使用下列文章深入瞭解適用於 Apache Cassandra 的 Azure SQL 受控執行個體: