Požadovaná odchozí síťová pravidla
Služba Azure Managed Instance for Apache Řešení vyžaduje ke správné správě služby určitá pravidla sítě. Tím, že zajistíte, že budete mít přístup ke správným pravidlům, můžete zajistit zabezpečení služby a zabránit provozním problémům.
Značky služeb virtuální sítě
Pokud k omezení odchozího Azure Firewall používáte virtuální síť, důrazně doporučujeme použít značky služeb virtuální sítě. Níže jsou uvedené značky potřebné ke správnému fungování spravované instance Azure pro Apache Cassandra.
| Značka cílové služby | Protokol | Port | Použití |
|---|---|---|---|
| Storage | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
| AzureKeyVault | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru. |
| Centrum událostí | HTTPS | 443 | Vyžaduje se k předávání protokolů do Azure. |
| AzureMonitor | HTTPS | 443 | Vyžaduje se k předávání metrik do Azure. |
| AzureActiveDirectory | HTTPS | 443 | Vyžaduje se pro Azure Active Directory ověřování. |
| AzureResourceManager | HTTPS | 443 | Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Vyžaduje se pro operace protokolování. |
| GuestAndHybridManagement | HTTPS | 443 | Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
| Správa rozhraní API | HTTPS | 443 | Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
Poznámka
Kromě výše uvedeného budete také muset přidat následující předpony adres, protože pro příslušnou službu neexistuje značka služby: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Trasy definované uživatelem
Pokud k omezení odchozího přístupu používáte bránu firewall třetí strany, důrazně doporučujeme nakonfigurovat trasy definované uživatelem pro předpony adres Microsoftu, a nepokoušet se povolit připojení prostřednictvím vlastní brány firewall. Pokud chcete přidat požadované předpony adres do tras definovaných uživatelem, podívejte se na ukázkový skript Bash.
Globální požadovaná pravidla sítě v Azure
Požadovaná pravidla sítě a závislosti IP adres:
| Cílový koncový bod | Protokol | Port | Použití |
|---|---|---|---|
| Snovap <region> .blob.core.windows.net:443 Nebo ServiceTag – Azure Storage | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
| *.store.core.windows.net:443 Nebo ServiceTag – Azure Storage | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage pro komunikaci a konfiguraci řídicí roviny. |
| *.blob.core.windows.net:443 Nebo ServiceTag – Azure Storage | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage k ukládání záloh. Funkce zálohování se reviduje a název úložiště se bude řídit vzorem ve formátu GA. |
| vmc-p- <region> .vault.azure.net:443 Nebo ServiceTag – Azure KeyVault | HTTPS | 443 | Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru. |
| management.azure.com:443 Nebo ServiceTag – Azure Virtual Machine Scale Sets nebo Azure Rozhraní API pro správu | HTTPS | 443 | Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování). |
| *.servicebus.windows.net:443 Nebo ServiceTag – Azure EventHub | HTTPS | 443 | Vyžaduje se k předávání protokolů do Azure. |
| jarvis-west.dc.ad.msft.net:443 Nebo ServiceTag – Azure Monitor | HTTPS | 443 | Vyžaduje se k předávání metrik Azure. |
| login.microsoftonline.com:443 Nebo ServiceTag – Azure AD | HTTPS | 443 | Vyžaduje se pro Azure Active Directory ověřování. |
| packages.microsoft.com | HTTPS | 443 | Vyžaduje se pro aktualizace definic a podpisů skeneru zabezpečení Azure. |
| azure.microsoft.com | HTTPS | 443 | Vyžaduje se k získání informací o škálovacích sadách virtuálních počítačů. |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Certifikát pro protokolování |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Protokolovací koncový bod potřebný k protokolování |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Potřebná pro metriky |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Potřebná ke stažení nebo aktualizaci kontroly zabezpečení |
| crl.microsoft.com | HTTPS | 443 | Potřebné pro přístup k veřejným certifikátům Microsoftu |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Potřebné pro přístup k veřejným certifikátům Microsoftu |
Přístup k DNS
Systém používá názvy DNS pro přístup ke službám Azure popsaným v tomto článku, aby mohl používat nástroje pro vyrovnávání zatížení. Virtuální síť proto musí spouštět server DNS, který dokáže tyto adresy přeložit. Virtuální počítače ve virtuální síti respektují název serveru, který je komunikovaný prostřednictvím protokolu DHCP. Ve většině případů Azure pro virtuální síť automaticky nastaví server DNS. Pokud se to ve vašem scénáři nevyskytuje, jsou vhodné pro začátek názvy DNS popsané v tomto článku.
Interní využití portů
Následující porty jsou přístupné pouze v rámci virtuální sítě (nebo partnerských virtuálních sítí nebo tras Express). Spravovaná instance pro instance Apache Cassandra nemá veřejnou IP adresu a neměla by být přístupná na internetu.
| Port | Použití |
|---|---|
| 8443 | Interní |
| 9443 | Interní |
| 7001 | Nesmlouvají se – používají je uzly Cassandra, které spolu vzájemně mluví. |
| 9042 | Cassandra – používá se klienty pro připojení k Cassandře. |
| 7199 | Interní |
Další kroky
V tomto článku jste se dozvěděli o pravidlech sítě pro správné řízení služby. Další informace o službě Azure Managed Instance for Apache Cassandra najdete v následujících článcích: