قواعد الشبكة الصادرة المطلوبة
يتطلب مثيل Azure المدار لخدمة Apache Casandra قواعد شبكة معينة لإدارة الخدمة بشكل صحيح. من خلال التأكد من أن لديك القواعد المناسبة مكشوفة ، يمكنك الحفاظ على أمان خدمتك ومنع المشكلات التشغيلية.
علامات خدمة الشبكة الظاهرية
إذا كنت تستخدم جدار حماية Azure لتقييد الوصول الصادر، فإننا نوصي بشدة باستخدام علامات خدمة الشبكة الظاهرية. فيما يلي العلامات المطلوبة لجعل مثيل Azure المدار ل Apache Cassandra يعمل بشكل صحيح.
| علامة خدمة الوجهة | البروتوكول | منفذ | استخدم |
|---|---|---|---|
| التخزين | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وتخزين Azure للاتصال والتكوين على مستوى التحكم. |
| AzureKeyVault | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد Key Vault Azure. يتم استخدام الشهادات والمفاتيح لتأمين الاتصال داخل المجموعة. |
| EventHub | HTTPS | 443 | مطلوب لإعادة توجيه السجلات إلى Azure |
| AzureMonitor | HTTPS | 443 | مطلوب لإعادة توجيه المقاييس إلى Azure |
| AzureActiveDirectory | HTTPS | 443 | مطلوب لمصادقة Azure Active Directory. |
| AzureResourceManager | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | مطلوب لعمليات التسجيل. |
| GuestAndHybridManagement | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
| ApiManagement | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
ملاحظة
بالإضافة إلى ما سبق ، ستحتاج أيضا إلى إضافة بادئات العناوين التالية ، حيث لا توجد علامة خدمة للخدمة ذات الصلة: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
مسارات محددة من قِبل المستخدم
إذا كنت تستخدم جدار حماية تابع لجهة 3rd لتقييد الوصول الصادر ، فإننا نوصي بشدة بتكوين المسارات المعرفة من قبل المستخدم (UDRs) لبادئات عناوين Microsoft ، بدلا من محاولة السماح بالاتصال من خلال جدار الحماية الخاص بك. راجع نموذج البرنامج النصي bash لإضافة بادئات العناوين المطلوبة في المسارات المعرفة من قبل المستخدم.
قواعد شبكة الاتصال المطلوبة Azure Global
قواعد الشبكة المطلوبة وتبعيات عنوان IP هي:
| نقطة نهاية الوجهة | البروتوكول | منفذ | استخدم |
|---|---|---|---|
| snovapregion.blob.core.windows.net:443<>OrServiceTag - Azure Storage | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وتخزين Azure للاتصال والتكوين على مستوى التحكم. |
| *.store.core.windows.net:443OrServiceTag - Azure Storage | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وتخزين Azure للاتصال والتكوين على مستوى التحكم. |
| *.blob.core.windows.net:443OrServiceTag - تخزين Azure | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد وتخزين Azure لتخزين النسخ الاحتياطية. تتم مراجعة ميزة النسخ الاحتياطي وسيتبع اسم التخزين نمطا بواسطة GA |
| vmc-p-region.vault.azure.net:443<>OrServiceTag - Azure KeyVault | HTTPS | 443 | مطلوب للاتصال الآمن بين العقد Key Vault Azure. يتم استخدام الشهادات والمفاتيح لتأمين الاتصال داخل المجموعة. |
| management.azure.com:443 OrServiceTag - Azure Virtual Machine Scale Sets/Azure Management API | HTTPS | 443 | مطلوب لجمع معلومات حول عقد Cassandra وإدارتها (على سبيل المثال، إعادة التشغيل) |
| *.servicebus.windows.net:443OrServiceTag - Azure EventHub | HTTPS | 443 | مطلوب لإعادة توجيه السجلات إلى Azure |
| jarvis-west.dc.ad.msft.net:443 أوسيرفيستاج - Azure Monitor | HTTPS | 443 | مطلوب لإعادة توجيه مقاييس Azure |
| login.microsoftonline.com:443 OrServiceTag - Azure AD | HTTPS | 443 | مطلوب لمصادقة Azure Active Directory. |
| packages.microsoft.com | HTTPS | 443 | مطلوب للتحديثات الخاصة بتعريف الماسح الضوئي لأمان Azure والتوقيعات |
| azure.microsoft.com | HTTPS | 443 | مطلوب للحصول على معلومات حول مجموعات مقاييس الجهاز الظاهري |
| <المنطقة-dsms.dsms.core.windows.net> | HTTPS | 443 | شهادة تسجيل الدخول |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | نقطة نهاية التسجيل اللازمة لتسجيل الدخول |
| global.prod.microsoftmetrics.com | HTTPS | 443 | مطلوب للمقاييس |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | مطلوب لتنزيل/تحديث الماسح الضوئي الأمني |
| crl.microsoft.com | HTTPS | 443 | مطلوب للوصول إلى شهادات Microsoft العامة |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | مطلوب للوصول إلى شهادات Microsoft العامة |
الوصول إلى نظام أسماء المجالات
يستخدم النظام أسماء DNS للوصول إلى خدمات Azure الموضحة في هذه المقالة بحيث يمكنه استخدام موازنات التحميل. لذلك، يجب على الشبكة الظاهرية تشغيل ملقم DNS الذي يمكنه حل هذه العناوين. تحترم الأجهزة الظاهرية في الشبكة الظاهرية خادم الأسماء الذي يتم توصيله من خلال بروتوكول DHCP. في معظم الحالات، يقوم Azure تلقائيا بإعداد خادم DNS للشبكة الظاهرية. إذا لم يحدث هذا في السيناريو الخاص بك، فإن أسماء DNS الموضحة في هذه المقالة هي دليل جيد للبدء.
استخدام المنفذ الداخلي
لا يمكن الوصول إلى المنافذ التالية إلا داخل VNET (أو vnets./express routes). لا يحتوي المثيل المدار لمثيلات Apache Cassandra على عنوان IP عام ولا ينبغي إتاحته على الإنترنت.
| المنفذ | استخدم |
|---|---|
| 8443 | داخلية |
| 9443 | داخلية |
| 7001 | القيل والقال - تستخدم من قبل عقد كاساندرا للتحدث مع بعضها البعض |
| 9042 | كاساندرا - يستخدمها العملاء للاتصال بكاساندرا |
| 7199 | داخلية |
الخطوات التالية
في هذه المقالة، تعرفت على قواعد الشبكة لإدارة الخدمة بشكل صحيح. تعرف على المزيد حول مثيل Azure المدار ل Apache Cassandra من خلال المقالات التالية: