Vereiste uitgaande netwerkregels
Voor de Service Azure Managed Instance voor Apache Wiltndra zijn bepaalde netwerkregels vereist om de service correct te beheren. Door ervoor te zorgen dat u de juiste regels hebt, kunt u uw service veilig houden en operationele problemen voorkomen.
Servicetags voor virtueel netwerk
Als u gebruik Azure Firewall om uitgaande toegang te beperken, raden we u ten zeerste aan servicetags voor virtuele netwerken te gebruiken. Hieronder vindt u de tags die nodig zijn om Azure Managed Instance voor Apache Cassandra goed te laten functioneren.
| Doelservicetag | Protocol | Poort | Gebruik |
|---|---|---|---|
| Storage | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
| AzureKeyVault | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen. |
| EventHub | HTTPS | 443 | Vereist voor het doorsturen van logboeken naar Azure |
| AzureMonitor | HTTPS | 443 | Vereist voor het doorsturen van metrische gegevens naar Azure |
| AzureActiveDirectory | HTTPS | 443 | Vereist voor Azure Active Directory verificatie. |
| AzureResourceManager | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Vereist voor logboekregistratiebewerkingen. |
| GuestAndHybridManagement | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
| ApiManagement | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
Notitie
Naast het bovenstaande moet u ook de volgende adres voorvoegsels toevoegen, omdat er geen servicetag bestaat voor de relevante service: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Door de gebruiker gedefinieerde routes
Als u een firewall van derden gebruikt om uitgaande toegang te beperken, raden we u ten zeerste aan door de gebruiker gedefinieerde routes (UDR's) te configureren voor Microsoft-adres voorvoegsels, in plaats van connectiviteit via uw eigen firewall toe te staan. Zie het bash-voorbeeldscript om de vereiste adres voorvoegsels toe te voegen aan door de gebruiker gedefinieerde routes.
Wereldwijd vereiste netwerkregels voor Azure
De vereiste netwerkregels en IP-adresafhankelijkheden zijn:
| Doel-eindpunt | Protocol | Poort | Gebruik |
|---|---|---|---|
| snovap <region> .blob.core.windows.net:443 of ServiceTag - Azure Storage | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
| *.store.core.windows.net:443 of ServiceTag - Azure Storage | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
| *.blob.core.windows.net:443 of ServiceTag - Azure Storage | HTTPS | 443 | Vereist voor veilige communicatie tussen de knooppunten en Azure Storage back-ups op te slaan. De back-upfunctie wordt herzien en de opslagnaam volgt een patroon door ga |
| vmc-p- <region> .vault.azure.net:443 of ServiceTag - Azure KeyVault | HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen. |
| management.azure.com:443 of ServiceTag - Azure Virtual Machine Scale Sets/Azure Beheer API | HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten) |
| *.servicebus.windows.net:443 of ServiceTag - Azure EventHub | HTTPS | 443 | Vereist voor het doorsturen van logboeken naar Azure |
| jarvis-west.dc.ad.msft.net:443 of ServiceTag - Azure Monitor | HTTPS | 443 | Vereist voor het doorsturen van metrische gegevens in Azure |
| login.microsoftonline.com:443 of ServiceTag - Azure AD | HTTPS | 443 | Vereist voor Azure Active Directory verificatie. |
| packages.microsoft.com | HTTPS | 443 | Vereist voor updates van de definitie en handtekeningen van de Azure-beveiligingsscanner |
| azure.microsoft.com | HTTPS | 443 | Vereist om informatie over virtuele-machineschaalsets op te halen |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Certificaat voor logboekregistratie |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Eindpunt voor logboekregistratie dat nodig is voor logboekregistratie |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Nodig voor metrische gegevens |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Nodig om de beveiligingsscanner te downloaden/bijwerken |
| crl.microsoft.com | HTTPS | 443 | Nodig voor toegang tot openbare Microsoft-certificaten |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Nodig voor toegang tot openbare Microsoft-certificaten |
DNS-toegang
Het systeem gebruikt DNS-namen om de Azure-services te bereiken die in dit artikel worden beschreven, zodat het load balancers kan gebruiken. Daarom moet in het virtuele netwerk een DNS-server worden uitgevoerd die deze adressen kan oplossen. De virtuele machines in het virtuele netwerk houden zich aan de naamserver die via het DHCP-protocol wordt gecommuniceerd. In de meeste gevallen stelt Azure automatisch een DNS-server in voor het virtuele netwerk. Als dit niet het geval is in uw scenario, zijn de DNS-namen die in dit artikel worden beschreven een goede handleiding om aan de slag te gaan.
Gebruik van interne poort
De volgende poorten zijn alleen toegankelijk binnen het VNET (of peered vnets./express routes). Beheerd exemplaar voor Apache Cassandra-exemplaren heeft geen openbaar IP-adres en mag niet toegankelijk worden gemaakt op internet.
| Poort | Gebruik |
|---|---|
| 8443 | Intern |
| 9443 | Intern |
| 7001 | Door Cassandra-knooppunten gebruikt om met elkaar te praten |
| 9042 | Cassandra: wordt gebruikt door clients om verbinding te maken met Cassandra |
| 7199 | Intern |
Volgende stappen
In dit artikel hebt u geleerd over netwerkregels om de service correct te beheren. Lees de volgende artikelen voor meer informatie over Azure Managed Instance voor Apache Cassandra: