Vereiste uitgaande netwerkregels

Voor de Service Azure Managed Instance voor Apache Wiltndra zijn bepaalde netwerkregels vereist om de service correct te beheren. Door ervoor te zorgen dat u de juiste regels hebt, kunt u uw service veilig houden en operationele problemen voorkomen.

Servicetags voor virtueel netwerk

Als u gebruik Azure Firewall om uitgaande toegang te beperken, raden we u ten zeerste aan servicetags voor virtuele netwerken te gebruiken. Hieronder vindt u de tags die nodig zijn om Azure Managed Instance voor Apache Cassandra goed te laten functioneren.

Doelservicetag Protocol Poort Gebruik
Storage HTTPS 443 Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak.
AzureKeyVault HTTPS 443 Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen.
EventHub HTTPS 443 Vereist voor het doorsturen van logboeken naar Azure
AzureMonitor HTTPS 443 Vereist voor het doorsturen van metrische gegevens naar Azure
AzureActiveDirectory HTTPS 443 Vereist voor Azure Active Directory verificatie.
AzureResourceManager HTTPS 443 Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten)
AzureFrontDoor.Firstparty HTTPS 443 Vereist voor logboekregistratiebewerkingen.
GuestAndHybridManagement HTTPS 443 Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten)
ApiManagement HTTPS 443 Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten)

Notitie

Naast het bovenstaande moet u ook de volgende adres voorvoegsels toevoegen, omdat er geen servicetag bestaat voor de relevante service: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10

Door de gebruiker gedefinieerde routes

Als u een firewall van derden gebruikt om uitgaande toegang te beperken, raden we u ten zeerste aan door de gebruiker gedefinieerde routes (UDR's) te configureren voor Microsoft-adres voorvoegsels, in plaats van connectiviteit via uw eigen firewall toe te staan. Zie het bash-voorbeeldscript om de vereiste adres voorvoegsels toe te voegen aan door de gebruiker gedefinieerde routes.

Wereldwijd vereiste netwerkregels voor Azure

De vereiste netwerkregels en IP-adresafhankelijkheden zijn:

Doel-eindpunt Protocol Poort Gebruik
snovap <region> .blob.core.windows.net:443
of
ServiceTag - Azure Storage
HTTPS 443 Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak.
*.store.core.windows.net:443
of
ServiceTag - Azure Storage
HTTPS 443 Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak.
*.blob.core.windows.net:443
of
ServiceTag - Azure Storage
HTTPS 443 Vereist voor veilige communicatie tussen de knooppunten en Azure Storage back-ups op te slaan. De back-upfunctie wordt herzien en de opslagnaam volgt een patroon door ga
vmc-p- <region> .vault.azure.net:443
of
ServiceTag - Azure KeyVault
HTTPS 443 Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen.
management.azure.com:443
of
ServiceTag - Azure Virtual Machine Scale Sets/Azure Beheer API
HTTPS 443 Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten)
*.servicebus.windows.net:443
of
ServiceTag - Azure EventHub
HTTPS 443 Vereist voor het doorsturen van logboeken naar Azure
jarvis-west.dc.ad.msft.net:443
of
ServiceTag - Azure Monitor
HTTPS 443 Vereist voor het doorsturen van metrische gegevens in Azure
login.microsoftonline.com:443
of
ServiceTag - Azure AD
HTTPS 443 Vereist voor Azure Active Directory verificatie.
packages.microsoft.com HTTPS 443 Vereist voor updates van de definitie en handtekeningen van de Azure-beveiligingsscanner
azure.microsoft.com HTTPS 443 Vereist om informatie over virtuele-machineschaalsets op te halen
<region>-dsms.dsms.core.windows.net HTTPS 443 Certificaat voor logboekregistratie
gcs.prod.monitoring.core.windows.net HTTPS 443 Eindpunt voor logboekregistratie dat nodig is voor logboekregistratie
global.prod.microsoftmetrics.com HTTPS 443 Nodig voor metrische gegevens
shavsalinuxscanpkg.blob.core.windows.net HTTPS 443 Nodig om de beveiligingsscanner te downloaden/bijwerken
crl.microsoft.com HTTPS 443 Nodig voor toegang tot openbare Microsoft-certificaten
global-dsms.dsms.core.windows.net HTTPS 443 Nodig voor toegang tot openbare Microsoft-certificaten

DNS-toegang

Het systeem gebruikt DNS-namen om de Azure-services te bereiken die in dit artikel worden beschreven, zodat het load balancers kan gebruiken. Daarom moet in het virtuele netwerk een DNS-server worden uitgevoerd die deze adressen kan oplossen. De virtuele machines in het virtuele netwerk houden zich aan de naamserver die via het DHCP-protocol wordt gecommuniceerd. In de meeste gevallen stelt Azure automatisch een DNS-server in voor het virtuele netwerk. Als dit niet het geval is in uw scenario, zijn de DNS-namen die in dit artikel worden beschreven een goede handleiding om aan de slag te gaan.

Gebruik van interne poort

De volgende poorten zijn alleen toegankelijk binnen het VNET (of peered vnets./express routes). Beheerd exemplaar voor Apache Cassandra-exemplaren heeft geen openbaar IP-adres en mag niet toegankelijk worden gemaakt op internet.

Poort Gebruik
8443 Intern
9443 Intern
7001 Door Cassandra-knooppunten gebruikt om met elkaar te praten
9042 Cassandra: wordt gebruikt door clients om verbinding te maken met Cassandra
7199 Intern

Volgende stappen

In dit artikel hebt u geleerd over netwerkregels om de service correct te beheren. Lees de volgende artikelen voor meer informatie over Azure Managed Instance voor Apache Cassandra: