قواعد الشبكة الصادرة المطلوبة
يتطلب مثيل Azure المدار لخدمة Apache Cassandra قواعد شبكة معينة لإدارة الخدمة بشكل صحيح. من خلال التأكد من أن لديك القواعد المناسبة مكشوفة، يمكنك الحفاظ على أمان خدمتك ومنع المشكلات التشغيلية.
تحذير
نوصي بالحذر عند تطبيق التغييرات على قواعد جدار الحماية لنظام مجموعة موجود. على سبيل المثال، إذا لم يتم تطبيق القواعد بشكل صحيح، فقد لا يتم تطبيقها على الاتصالات الموجودة، لذلك قد يبدو أن تغييرات جدار الحماية لم تسبب أي مشاكل. ومع ذلك، قد تفشل التحديثات التلقائية لعقد Cassandra Managed Instance لاحقا. نوصي بمراقبة الاتصال بعد أي تحديثات رئيسية لجدار الحماية لبعض الوقت للتأكد من عدم وجود مشكلات.
علامات خدمة الشبكة الظاهرية
تلميح
إذا كنت تستخدم VPN ، فلن تحتاج إلى فتح أي اتصال آخر.
إذا كنت تستخدم Azure Firewall لتقييد الوصول الصادر، نوصي بشدة باستخدام علامات خدمة الشبكة الظاهرية. العلامات الموجودة في الجدول مطلوبة لجعل مثيل Azure SQL المدار ل Apache Cassandra يعمل بشكل صحيح.
| علامة خدمة الوجهة | البروتوكول | المنفذ | استخدام |
|---|---|---|---|
| التخزين | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وAzure Storage للاتصال وتكوين وحدة التحكم. |
| AzureKeyVault | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وAzure Key Vault. يتم استخدام الشهادات والمفاتيح لتأمين الاتصال داخل نظام المجموعة. |
| EventHub | HTTPS | 443 | مطلوب لإعادة توجيه السجلات إلى Azure |
| AzureMonitor | HTTPS | 443 | مطلوب لإعادة توجيه المقاييس إلى Azure |
| AzureActiveDirectory | HTTPS | 443 | مطلوب لمصادقة Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | مطلوب لعمليات التسجيل. |
| GuestAndHybridManagement | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
| ApiManagement | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
إشعار
بالإضافة إلى جدول العلامات، ستحتاج أيضا إلى إضافة بادئات العنوان التالية، حيث إن علامة الخدمة غير موجودة للخدمة ذات الصلة: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
مسارات محددة من قِبل المستخدم
إذا كنت تستخدم جدار حماية غير تابعة ل Microsoft لتقييد الوصول الصادر، نوصي بشدة بتكوين المسارات المعرفة من قبل المستخدم (UDRs) لبادئات عناوين Microsoft، بدلا من محاولة السماح بالاتصال من خلال جدار الحماية الخاص بك. راجع نموذج البرنامج النصي bash لإضافة بادئات العنوان المطلوبة في المسارات المعرفة من قبل المستخدم.
قواعد شبكة الاتصال المطلوبة Azure Global
قواعد الشبكة المطلوبة وتبعيات عنوان IP هي:
| نقطة نهاية الوجهة | البروتوكول | المنفذ | استخدام |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > أو ServiceTag - Azure Storage |
HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وAzure Storage للاتصال وتكوين وحدة التحكم. |
| *.store.core.windows.net:443 أو ServiceTag - Azure Storage |
HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وAzure Storage للاتصال وتكوين وحدة التحكم. |
| *.blob.core.windows.net:443 أو ServiceTag - Azure Storage |
HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وAzure Storage لتخزين النسخ الاحتياطية. تتم مراجعة ميزة النسخ الاحتياطي ويتبع نمط لاسم التخزين GA |
| vmc-p-region.vault.azure.net:443<> أو ServiceTag - Azure KeyVault |
HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وAzure Key Vault. يتم استخدام الشهادات والمفاتيح لتأمين الاتصال داخل نظام المجموعة. |
management.azure.com:443 أو ServiceTag - مجموعات مقياس الجهاز الظاهري Azure/واجهة برمجة تطبيقات إدارة Azure |
HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
| *.servicebus.windows.net:443 أو ServiceTag - Azure EventHub |
HTTPS | 443 | مطلوب لإعادة توجيه السجلات إلى Azure |
jarvis-west.dc.ad.msft.net:443 أو ServiceTag - Azure Monitor |
HTTPS | 443 | مطلوب لإعادة توجيه المقاييس Azure |
login.microsoftonline.com:443 أو ServiceTag - معرف Microsoft Entra |
HTTPS | 443 | مطلوب لمصادقة Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | مطلوب لتحديثات تعريف وتوقيعات الماسح الضوئي لأمان Azure |
| azure.microsoft.com | HTTPS | 443 | مطلوب للحصول على معلومات حول مجموعات مقياس الجهاز الظاهري |
| <dsms.dsms.core.windows.net المنطقة> | HTTPS | 443 | شهادة للتسجيل |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | نقطة نهاية التسجيل المطلوبة للتسجيل |
| global.prod.microsoftmetrics.com | HTTPS | 443 | مطلوب للمقاييس |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | مطلوب لتنزيل/تحديث الماسح الضوئي للأمان |
| crl.microsoft.com | HTTPS | 443 | مطلوب للوصول إلى شهادات Microsoft العامة |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | مطلوب للوصول إلى شهادات Microsoft العامة |
الوصول إلى نظام أسماء المجالات
يستخدم النظام أسماء DNS للوصول إلى خدمات Azure الموضحة في هذه المقالة حتى يتمكن من استخدام موازنات التحميل. لذلك، يجب أن تقوم الشبكة الظاهرية بتشغيل خادم DNS يمكنه حل هذه العناوين. تحترم الأجهزة الظاهرية في الشبكة الظاهرية خادم الاسم الذي يتم توصيله من خلال بروتوكول DHCP. في معظم الحالات، يقوم Azure تلقائيا بإعداد خادم DNS للشبكة الظاهرية. إذا لم يحدث هذا في السيناريو الخاص بك، فإن أسماء DNS الموضحة في هذه المقالة هي دليل جيد للبدء.
استخدام المنفذ الداخلي
يمكن الوصول إلى المنافذ التالية فقط داخل الشبكة الظاهرية (أو مسارات vnets./express النظيرة). لا تحتوي مثيلات Azure المدارة ل Apache Cassandra على عنوان IP عام ولا ينبغي الوصول إليها على الإنترنت.
| المنفذ | استخدام |
|---|---|
| 8443 | داخلي |
| 9443 | داخلي |
| 7001 | الثرثرة - تستخدمها عقد Cassandra للتحدث مع بعضها البعض |
| 9042 | Cassandra -يستخدمها العملاء للاتصال ب Cassandra |
| 7199 | داخلي |
الخطوات التالية
في هذه المقالة، تعرفت على قواعد الشبكة لإدارة الخدمة بشكل صحيح. تعرف على المزيد حول Azure SQL Managed Instance ل Apache Cassandra باستخدام المقالات التالية: