Gerekli giden ağ kuralları
Apache Apachendra için Azure Yönetilen Örneği hizmetini düzgün bir şekilde yönetmek için belirli ağ kuralları gerektirir. Uygun kuralların açık olmasını sağlayarak hizmetinizi güvende tutabilirsiniz ve operasyonel sorunları önleyabilirsiniz.
Sanal ağ hizmet etiketleri
Giden erişimi kısıtlamak Azure Güvenlik Duvarı bir uygulama kullanıyorsanız, sanal ağ hizmet etiketlerinin kullanılması kesinlikle önerilir. Apache Cassandra için Azure Yönetilen Örneği'nin düzgün çalışması için gereken etiketler aşağıda verilmiştir.
| Hedef Hizmet Etiketi | Protokol | Bağlantı noktası | Kullanın |
|---|---|---|---|
| Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ve Azure Depolama güvenli iletişim için gereklidir. |
| AzureKeyVault | HTTPS | 443 | Düğümler ve düğümler arasındaki güvenli iletişim için Azure Key Vault. Sertifikalar ve anahtarlar küme içindeki iletişimin güvenliğini sağlamak için kullanılır. |
| EventHub | HTTPS | 443 | Günlükleri Azure'a iletmeniz gerekir |
| AzureMonitor | HTTPS | 443 | Ölçümleri Azure'a iletmeniz gerekir |
| AzureActiveDirectory | HTTPS | 443 | Kimlik doğrulaması Azure Active Directory gereklidir. |
| AzureResourceManager | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Günlük işlemleri için gereklidir. |
| GuestAndHybridManagement | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| ApiManagement | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
Not
Yukarıdakilere ek olarak, ilgili hizmet için bir hizmet etiketi mevcut değildir: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Kullanıcı tanımlı yollar
Giden erişimi kısıtlamak için üçüncü taraf Güvenlik Duvarı kullanıyorsanız, kendi Güvenlik Duvarınız üzerinden bağlantılara izin vermek yerine Microsoft adres ön ekleri için kullanıcı tanımlı yollar (UDR) yapılandırmanızı kesinlikle öneririz. Kullanıcı tanımlı yollara gerekli adres ön eklerini eklemek için örnek bash betiğine bakın.
Azure Genel için gerekli ağ kuralları
Gerekli ağ kuralları ve IP adresi bağımlılıkları:
| Hedef Uç Nokta | Protokol | Bağlantı noktası | Kullanın |
|---|---|---|---|
| snovap <region> .blob.core.windows.net:443 Veya ServiceTag - Azure Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ve Azure Depolama güvenli iletişim için gereklidir. |
| *.store.core.windows.net:443 Veya ServiceTag - Azure Depolama | HTTPS | 443 | Denetim Düzlemi iletişimi ve yapılandırması için düğümler ve Azure Depolama güvenli iletişim için gereklidir. |
| *.blob.core.windows.net:443 Veya ServiceTag - Azure Depolama | HTTPS | 443 | Yedeklemeleri depolamak için düğümler ve Azure Depolama güvenli iletişim için gereklidir. Yedekleme özelliği düzeltildi ve depolama adı GA'ya göre bir desene uygun olacak |
| vmc-p- <region> .vault.azure.net:443 Veya ServiceTag - Azure KeyVault | HTTPS | 443 | Düğümler ve düğümler arasındaki güvenli iletişim için Azure Key Vault. Sertifikalar ve anahtarlar küme içindeki iletişimin güvenliğini sağlamak için kullanılır. |
| management.azure.com:443 Veya ServiceTag - Azure Sanal Makine Ölçek Kümeleri/Azure Yönetim API'si | HTTPS | 443 | Cassandra düğümleri hakkında bilgi toplamak ve yönetmek için gereklidir (örneğin, yeniden başlatma) |
| *.servicebus.windows.net:443 Veya ServiceTag - Azure EventHub | HTTPS | 443 | Günlükleri Azure'a iletmeniz gerekir |
| jarvis-west.dc.ad.msft.net:443 Veya ServiceTag - Azure İzleyici | HTTPS | 443 | Azure ölçümlerini iletmesi için gereklidir |
| login.microsoftonline.com:443 Veya ServiceTag - Azure AD | HTTPS | 443 | Kimlik doğrulaması Azure Active Directory gereklidir. |
| packages.microsoft.com | HTTPS | 443 | Azure güvenlik tarayıcısı tanımı ve imzaları güncelleştirmeleri için gereklidir |
| azure.microsoft.com | HTTPS | 443 | Sanal makine ölçek kümeleri hakkında bilgi almak için gereklidir |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | Günlüğe kaydetme sertifikası |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Günlüğe kaydetme için gereken günlük uç noktası |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Ölçümler için gereklidir |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Güvenlik tarayıcısını indirmek/güncelleştirmek için gereklidir |
| crl.microsoft.com | HTTPS | 443 | Genel Microsoft sertifikalarına erişmek için gereklidir |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Genel Microsoft sertifikalarına erişmek için gereklidir |
DNS erişimi
Sistem, yük dengelerini kullanmak için bu makalede açıklanan Azure hizmetlerine ulaşmak için DNS adlarını kullanır. Bu nedenle, sanal ağın bu adresleri çözümleye bir DNS sunucusu çalıştırması gerekir. Sanal ağ içinde sanal makineler, DHCP protokolü aracılığıyla iletişim kuran ad sunucusuna saygı gösterir. Çoğu durumda Azure, sanal ağ için otomatik olarak bir DNS sunucusu ayarlar. Senaryoda bu durum oluşmazsa, bu makalede açıklanan DNS adları, çalışmaya başlamanız için iyi bir kılavuzdur.
İç bağlantı noktası kullanımı
Aşağıdaki bağlantı noktalarına yalnızca sanal ağ (veya eşli vnet'ler./express yolları) içinde erişilebilir. Apache Cassandra örnekleri için Yönetilen Örnek genel BIR IP'ye sahip değildir ve İnternet üzerinden erişilebilir hale gelmemeli.
| Bağlantı noktası | Kullanın |
|---|---|
| 8443 | İç |
| 9443 | İç |
| 7001 | Talk - Cassandra düğümleri tarafından birbirlerine konuşmak için kullanılır |
| 9042 | Cassandra - İstemciler tarafından Cassandra'ya bağlanmak için kullanılır |
| 7199 | İç |
Sonraki adımlar
Bu makalede, hizmeti düzgün bir şekilde yönetmek için ağ kuralları hakkında bilgi edinmişsinizdir. Aşağıdaki makaleleri kullanarak Apache Cassandra için Azure Yönetilen Örneği hakkında daha fazla bilgi edinin: