Nödvändiga regler för utgående nätverk
Azure Managed Instance för Apache Casandra-tjänsten kräver vissa nätverksregler för att hantera tjänsten korrekt. Genom att se till att du har rätt regler exponerade kan du skydda tjänsten och förhindra driftproblem.
Tjänsttaggar för virtuellt nätverk
Om du använder Azure Firewall för att begränsa utgående åtkomst rekommenderar vi starkt att du använder tjänsttaggar för virtuellt nätverk. Nedan visas de taggar som krävs för att Azure Managed Instance för Apache Cassandra ska fungera korrekt.
| Måltjänsttagg | Protokoll | Port | Användning |
|---|---|---|---|
| Storage | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
| AzureKeyVault | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret. |
| EventHub | HTTPS | 443 | Krävs för att vidarebefordra loggar till Azure |
| AzureMonitor | HTTPS | 443 | Krävs för att vidarebefordra mått till Azure |
| AzureActiveDirectory | HTTPS | 443 | Krävs för Azure Active Directory autentisering. |
| AzureResourceManager | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Krävs för loggningsåtgärder. |
| GuestAndHybridManagement | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
| ApiManagement | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
Anteckning
Utöver ovanstående måste du också lägga till följande adressprefix eftersom det inte finns någon tjänsttagg för den aktuella tjänsten: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Användardefinierade vägar
Om du använder en brandvägg från tredje part för att begränsa utgående åtkomst rekommenderar vi starkt att du konfigurerar användardefinierade vägar (UDR:er) för Microsoft-adressprefix, i stället för att försöka tillåta anslutning via din egen brandvägg. Se exempel på bash-skript för att lägga till de nödvändiga adressprefixen i användardefinierade vägar.
Nätverksregler som krävs av Azure Global
De nödvändiga nätverksreglerna och IP-adressberoendena är:
| Målslutpunkt | Protokoll | Port | Användning |
|---|---|---|---|
| snovap <region> .blob.core.windows.net:443 Eller ServiceTag – Azure Storage | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
| *.store.core.windows.net:443 Eller ServiceTag – Azure Storage | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
| *.blob.core.windows.net:443 Eller ServiceTag – Azure Storage | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage att lagra säkerhetskopior. Säkerhetskopieringsfunktionen håller på att ändras och lagringsnamnet följer ett mönster av den ga |
| vmc-p- <region> .vault.azure.net:443 Eller ServiceTag – Azure KeyVault | HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret. |
| management.azure.com:443 Eller ServiceTag – Azure Virtual Machine Scale Sets/Azure API för hantering | HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart) |
| *.servicebus.windows.net:443 Eller ServiceTag – Azure EventHub | HTTPS | 443 | Krävs för att vidarebefordra loggar till Azure |
| jarvis-west.dc.ad.msft.net:443 Eller ServiceTag – Azure Monitor | HTTPS | 443 | Krävs för att vidarebefordra mått i Azure |
| login.microsoftonline.com:443 Eller ServiceTag – Azure AD | HTTPS | 443 | Krävs för Azure Active Directory autentisering. |
| packages.microsoft.com | HTTPS | 443 | Krävs för uppdateringar av definition och signaturer för Azure-säkerhetsskannern |
| azure.microsoft.com | HTTPS | 443 | Krävs för att få information om VM-skalningsuppsättningar |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Certifikat för loggning |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Loggningsslutpunkt krävs för loggning |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Krävs för mått |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Krävs för att ladda ned/uppdatera säkerhetsskannern |
| crl.microsoft.com | HTTPS | 443 | Krävs för att få åtkomst till offentliga Microsoft-certifikat |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Krävs för att få åtkomst till offentliga Microsoft-certifikat |
DNS-åtkomst
Systemet använder DNS-namn för att nå de Azure-tjänster som beskrivs i den här artikeln så att det kan använda lastbalanserare. Därför måste det virtuella nätverket köra en DNS-server som kan matcha dessa adresser. De virtuella datorerna i det virtuella nätverket respekterar namnservern som kommuniceras via DHCP-protokollet. I de flesta fall uppsättningar Azure automatiskt en DNS-server för det virtuella nätverket. Om detta inte inträffar i ditt scenario är DNS-namnen som beskrivs i den här artikeln en bra guide för att komma igång.
Intern portanvändning
Följande portar är endast tillgängliga i det virtuella nätverket (eller peer-ade vnets./express routes). Hanterad instans för Apache Cassandra-instanser har ingen offentlig IP-adress och bör inte göras tillgänglig på Internet.
| Port | Användning |
|---|---|
| 8443 | Intern |
| 9443 | Intern |
| 7001 | Skvaller – Används av Cassandra-noder för att prata med varandra |
| 9042 | Cassandra – används av klienter för att ansluta till Cassandra |
| 7199 | Intern |
Nästa steg
I den här artikeln har du lärt dig om nätverksregler för korrekt hantering av tjänsten. Läs mer om Azure Managed Instance för Apache Cassandra i följande artiklar: