Требуемые сетевые правила для исходящего трафика
Служба Azure Управляемый экземпляр для Apache Cassandra требует правильного управления службой определенных сетевых правил. Убедившись, что у вас есть соответствующие правила, можно обеспечить безопасность службы и предотвратить проблемы в работе.
Предупреждение
Рекомендуется соблюдать осторожность при применении изменений к правилам брандмауэра для существующего кластера. Например, если правила не применяются правильно, они могут не применяться к существующим подключениям, поэтому может показаться, что изменения брандмауэра не вызвали никаких проблем. Однако автоматическое обновление узлов Cassandra Управляемый экземпляр может завершиться ошибкой. Мы рекомендуем отслеживать подключение после каких-либо основных обновлений брандмауэра в течение некоторого времени, чтобы убедиться, что проблемы отсутствуют.
Теги службы виртуальной сети
Совет
Если вы используете VPN , то вам не нужно открывать другое подключение.
Если вы используете Брандмауэр Azure для ограничения исходящего доступа, настоятельно рекомендуется использовать теги службы виртуальной сети. Теги в таблице необходимы для правильной работы Управляемый экземпляр SQL Azure для функции Apache Cassandra.
| Тег целевой службы | Протокол | Порт | Использование |
|---|---|---|---|
| Хранилище | HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для связи и настройки уровня управления. |
| AzureKeyVault | HTTPS | 443 | Требуется для безопасного обмена данными между узлами и Azure Key Vault. Сертификаты и ключи используются для защиты обмена данными внутри кластера. |
| Концентратор событий | HTTPS | 443 | Требуется для пересылки журналов в Azure |
| AzureMonitor | HTTPS | 443 | Требуется для пересылки метрик в Azure |
| AzureActiveDirectory | HTTPS | 443 | Требуется для проверки подлинности Microsoft Entra. |
| AzureResourceManager | HTTPS | 443 | Требуется для сбора сведений об узлах Cassandra и управления ими (например, для перезагрузки) |
| AzureFrontDoor.Firstparty | HTTPS | 443 | Требуется для операций ведения журнала. |
| GuestAndHybridManagement | HTTPS | 443 | Требуется для сбора сведений об узлах Cassandra и управления ими (например, для перезагрузки) |
| Управление API | HTTPS | 443 | Требуется для сбора сведений об узлах Cassandra и управления ими (например, для перезагрузки) |
Примечание.
Помимо таблицы тегов, вам также потребуется добавить следующие префиксы адресов, так как тег службы не существует для соответствующей службы: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
Определяемые пользователем маршруты
Если вы используете брандмауэр, отличный от Майкрософт, чтобы ограничить исходящий доступ, настоятельно рекомендуем настроить определяемые пользователем маршруты (UDR) для префиксов адресов Майкрософт, а не пытаться разрешить подключение через собственный брандмауэр. См. пример скрипта bash, чтобы добавить необходимые префиксы адресов в определяемые пользователем маршруты.
Глобальные обязательные правила сети Azure
Необходимые правила сети и зависимости IP-адресов:
| Целевая конечная точка | Протокол | Порт | Использование |
|---|---|---|---|
| snovap<region.blob.core.windows.net:443 > Or ServiceTag — служба хранилища Azure |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для связи и настройки уровня управления. |
| *.store.core.windows.net:443 или ServiceTag — служба хранилища Azure |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для связи и настройки уровня управления. |
| *.blob.core.windows.net:443 или ServiceTag — служба хранилища Azure |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и хранилищем Azure для хранения резервных копий. Функция резервного копирования обновляется, а шаблон имени хранилища следует общедоступной версии |
| vmc-p-region.vault.azure.net:443<> или ServiceTag — Azure KeyVault |
HTTPS | 443 | Требуется для безопасного обмена данными между узлами и Azure Key Vault. Сертификаты и ключи используются для защиты обмена данными внутри кластера. |
management.azure.com:443 или ServiceTag — API управления Azure Масштабируемые наборы виртуальных машин или Azure |
HTTPS | 443 | Требуется для сбора сведений об узлах Cassandra и управления ими (например, для перезагрузки) |
| *.servicebus.windows.net:443 или ServiceTag — Azure EventHub |
HTTPS | 443 | Требуется для пересылки журналов в Azure |
jarvis-west.dc.ad.msft.net:443 или ServiceTag — Azure Monitor |
HTTPS | 443 | Требуется для пересылки метрик Azure |
login.microsoftonline.com:443 или serviceTag — идентификатор Microsoft Entra |
HTTPS | 443 | Требуется для проверки подлинности Microsoft Entra. |
| packages.microsoft.com | HTTPS | 443 | Требуется для обновления определения и подписей сканера безопасности Azure |
| azure.microsoft.com | HTTPS | 443 | Требуется для получения сведений о масштабируемых наборах виртуальных машин |
| <регион-dsms.dsms.core.windows.net> | HTTPS | 443 | Сертификат для ведения журнала |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | Конечная точка ведения журнала, необходимая для ведения журнала |
| global.prod.microsoftmetrics.com | HTTPS | 443 | Требуется для метрик |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | Требуется для скачивания и обновления средства проверки безопасности |
| crl.microsoft.com | HTTPS | 443 | Требуется для доступа к общедоступным сертификатам Майкрософт |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | Требуется для доступа к общедоступным сертификатам Майкрософт |
Доступ к DNS
Система использует DNS-имена для доступа к службам Azure, описанным в этой статье, чтобы использовать подсистемы балансировки нагрузки. Таким образом, виртуальная сеть должна запускать DNS-сервер, который может разрешать эти адреса. Виртуальные машины в виртуальной сети учитывают сервер имен, который передается через протокол DHCP. В большинстве случаев Azure автоматически настраивает DNS-сервер для виртуальной сети. Если это не происходит в вашем сценарии, dns-имена, описанные в этой статье, являются хорошим руководством для начала работы.
Внутреннее использование портов
Следующие порты доступны только в виртуальной сети (или одноранговых виртуальных сетях./express). Управляемый экземпляр Azure для Apache Cassandra не имеют общедоступного IP-адреса и не должны быть доступны в Интернете.
| Порт | Использование |
|---|---|
| 8443 | Внутренние |
| 9443 | Внутренние |
| 7001 | Gossip — используется узлами Cassandra для взаимодействия друг с другом |
| 9042. | Cassandra — используется клиентами для подключения к Cassandra |
| 7199 | Внутренние |
Следующие шаги
Из этой статьи вы узнали о сетевых правилах для правильного управления службой. Дополнительные сведения о Управляемый экземпляр SQL Azure для Apache Cassandra см. в следующих статьях: