Požadovaná odchozí síťová pravidla

Služba Azure Managed Instance for Apache Řešení vyžaduje ke správné správě služby určitá pravidla sítě. Tím, že zajistíte, že budete mít přístup ke správným pravidlům, můžete zajistit zabezpečení služby a zabránit provozním problémům.

Značky služeb virtuální sítě

Pokud k omezení odchozího Azure Firewall používáte virtuální síť, důrazně doporučujeme použít značky služeb virtuální sítě. Níže jsou uvedené značky potřebné ke správnému fungování spravované instance Azure pro Apache Cassandra.

Značka cílové služby Protokol Port Použití
Storage HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage pro komunikaci a konfiguraci řídicí roviny.
AzureKeyVault HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru.
Centrum událostí HTTPS 443 Vyžaduje se k předávání protokolů do Azure.
AzureMonitor HTTPS 443 Vyžaduje se k předávání metrik do Azure.
AzureActiveDirectory HTTPS 443 Vyžaduje se pro Azure Active Directory ověřování.
AzureResourceManager HTTPS 443 Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).
AzureFrontDoor.Firstparty HTTPS 443 Vyžaduje se pro operace protokolování.
GuestAndHybridManagement HTTPS 443 Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).
Správa rozhraní API HTTPS 443 Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).

Poznámka

Kromě výše uvedeného budete také muset přidat následující předpony adres, protože pro příslušnou službu neexistuje značka služby: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10

Trasy definované uživatelem

Pokud k omezení odchozího přístupu používáte bránu firewall třetí strany, důrazně doporučujeme nakonfigurovat trasy definované uživatelem pro předpony adres Microsoftu, a nepokoušet se povolit připojení prostřednictvím vlastní brány firewall. Pokud chcete přidat požadované předpony adres do tras definovaných uživatelem, podívejte se na ukázkový skript Bash.

Globální požadovaná pravidla sítě v Azure

Požadovaná pravidla sítě a závislosti IP adres:

Cílový koncový bod Protokol Port Použití
Snovap <region> .blob.core.windows.net:443
Nebo
ServiceTag – Azure Storage
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage pro komunikaci a konfiguraci řídicí roviny.
*.store.core.windows.net:443
Nebo
ServiceTag – Azure Storage
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage pro komunikaci a konfiguraci řídicí roviny.
*.blob.core.windows.net:443
Nebo
ServiceTag – Azure Storage
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Storage k ukládání záloh. Funkce zálohování se reviduje a název úložiště se bude řídit vzorem ve formátu GA.
vmc-p- <region> .vault.azure.net:443
Nebo
ServiceTag – Azure KeyVault
HTTPS 443 Vyžaduje se pro zabezpečenou komunikaci mezi uzly a Azure Key Vault. Certifikáty a klíče slouží k zabezpečení komunikace uvnitř clusteru.
management.azure.com:443
Nebo
ServiceTag – Azure Virtual Machine Scale Sets nebo Azure Rozhraní API pro správu
HTTPS 443 Vyžaduje se ke shromažďování informací o uzlech Cassandra a jejich správě (například restartování).
*.servicebus.windows.net:443
Nebo
ServiceTag – Azure EventHub
HTTPS 443 Vyžaduje se k předávání protokolů do Azure.
jarvis-west.dc.ad.msft.net:443
Nebo
ServiceTag – Azure Monitor
HTTPS 443 Vyžaduje se k předávání metrik Azure.
login.microsoftonline.com:443
Nebo
ServiceTag – Azure AD
HTTPS 443 Vyžaduje se pro Azure Active Directory ověřování.
packages.microsoft.com HTTPS 443 Vyžaduje se pro aktualizace definic a podpisů skeneru zabezpečení Azure.
azure.microsoft.com HTTPS 443 Vyžaduje se k získání informací o škálovacích sadách virtuálních počítačů.
<region>-dsms.dsms.core.windows.net HTTPS 443 Certifikát pro protokolování
gcs.prod.monitoring.core.windows.net HTTPS 443 Protokolovací koncový bod potřebný k protokolování
global.prod.microsoftmetrics.com HTTPS 443 Potřebná pro metriky
shavsalinuxscanpkg.blob.core.windows.net HTTPS 443 Potřebná ke stažení nebo aktualizaci kontroly zabezpečení
crl.microsoft.com HTTPS 443 Potřebné pro přístup k veřejným certifikátům Microsoftu
global-dsms.dsms.core.windows.net HTTPS 443 Potřebné pro přístup k veřejným certifikátům Microsoftu

Přístup k DNS

Systém používá názvy DNS pro přístup ke službám Azure popsaným v tomto článku, aby mohl používat nástroje pro vyrovnávání zatížení. Virtuální síť proto musí spouštět server DNS, který dokáže tyto adresy přeložit. Virtuální počítače ve virtuální síti respektují název serveru, který je komunikovaný prostřednictvím protokolu DHCP. Ve většině případů Azure pro virtuální síť automaticky nastaví server DNS. Pokud se to ve vašem scénáři nevyskytuje, jsou vhodné pro začátek názvy DNS popsané v tomto článku.

Interní využití portů

Následující porty jsou přístupné pouze v rámci virtuální sítě (nebo partnerských virtuálních sítí nebo tras Express). Spravovaná instance pro instance Apache Cassandra nemá veřejnou IP adresu a neměla by být přístupná na internetu.

Port Použití
8443 Interní
9443 Interní
7001 Nesmlouvají se – používají je uzly Cassandra, které spolu vzájemně mluví.
9042 Cassandra – používá se klienty pro připojení k Cassandře.
7199 Interní

Další kroky

V tomto článku jste se dozvěděli o pravidlech sítě pro správné řízení služby. Další informace o službě Azure Managed Instance for Apache Cassandra najdete v následujících článcích: