Nödvändiga regler för utgående nätverk

Azure Managed Instance för Apache Cassandra-tjänsten kräver vissa nätverksregler för att hantera tjänsten korrekt. Genom att se till att du har rätt regler exponerade kan du skydda din tjänst och förhindra driftsproblem.

Varning

Vi rekommenderar att du är försiktig när du tillämpar ändringar i brandväggsregler för ett befintligt kluster. Om reglerna till exempel inte tillämpas korrekt kanske de inte tillämpas på befintliga anslutningar, så det kan verka som om brandväggsändringar inte har orsakat några problem. Automatiska uppdateringar av noderna för Cassandra Managed Instance kan dock misslyckas senare. Vi rekommenderar att du övervakar anslutningen efter några större brandväggsuppdateringar under en viss tid för att säkerställa att det inte finns några problem.

Tjänsttaggar för virtuellt nätverk

Dricks

Om du använder VPN behöver du inte öppna någon annan anslutning.

Om du använder Azure Firewall för att begränsa utgående åtkomst rekommenderar vi starkt att du använder tjänsttaggar för virtuella nätverk. Taggarna i tabellen krävs för att Azure SQL Managed Instance för Apache Cassandra ska fungera korrekt.

Måltjänsttagg Protokoll Port Använd
Storage HTTPS 443 Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration.
AzureKeyVault HTTPS 443 Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret.
EventHub HTTPS 443 Krävs för att vidarebefordra loggar till Azure
AzureMonitor HTTPS 443 Krävs för att vidarebefordra mått till Azure
AzureActiveDirectory HTTPS 443 Krävs för Microsoft Entra-autentisering.
AzureResourceManager HTTPS 443 Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart)
AzureFrontDoor.Firstparty HTTPS 443 Krävs för loggningsåtgärder.
GuestAndHybridManagement HTTPS 443 Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart)
ApiManagement HTTPS 443 Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart)

Kommentar

Förutom tabellen taggar måste du också lägga till följande adressprefix eftersom det inte finns någon tjänsttagg för den relevanta tjänsten: 104.40.0.0/13 13.104.0.0/14 40.64.0.0/10

Användardefinierade vägar

Om du använder en icke-Microsoft-brandvägg för att begränsa utgående åtkomst rekommenderar vi starkt att du konfigurerar användardefinierade vägar (UDR) för Microsoft-adressprefix i stället för att försöka tillåta anslutning via din egen brandvägg. Se bash-exempelskript för att lägga till nödvändiga adressprefix i användardefinierade vägar.

Nätverksregler som krävs för Azure Global

De nätverksregler och IP-adressberoenden som krävs är:

Målslutpunkt Protokoll Port Använd
snovap<region.blob.core.windows.net:443
> Eller
ServiceTag – Azure Storage
HTTPS 443 Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration.
*.store.core.windows.net:443
Eller
ServiceTag – Azure Storage
HTTPS 443 Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration.
*.blob.core.windows.net:443
Eller
ServiceTag – Azure Storage
HTTPS 443 Krävs för säker kommunikation mellan noderna och Azure Storage för lagring av säkerhetskopior. Säkerhetskopieringsfunktionen håller på att revideras och ett mönster för lagringsnamn följer av GA
vmc-p-region.vault.azure.net:443<>
Eller
ServiceTag – Azure KeyVault
HTTPS 443 Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret.

management.azure.com:443 eller
ServiceTag – Azure Virtual Machine Scale Sets/Azure Management API
HTTPS 443 Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart)
*.servicebus.windows.net:443
Eller
ServiceTag – Azure EventHub
HTTPS 443 Krävs för att vidarebefordra loggar till Azure

jarvis-west.dc.ad.msft.net:443 eller
ServiceTag – Azure Monitor
HTTPS 443 Krävs för att vidarebefordra mått i Azure

login.microsoftonline.com:443 eller
ServiceTag – Microsoft Entra-ID
HTTPS 443 Krävs för Microsoft Entra-autentisering.
packages.microsoft.com HTTPS 443 Krävs för uppdateringar av Definition och signaturer för Azure-säkerhetsskanner
azure.microsoft.com HTTPS 443 Krävs för att få information om VM-skalningsuppsättningar
<region-dsms.dsms.core.windows.net> HTTPS 443 Certifikat för loggning
gcs.prod.monitoring.core.windows.net HTTPS 443 Loggningsslutpunkt krävs för loggning
global.prod.microsoftmetrics.com HTTPS 443 Behövs för mått
shavsalinuxscanpkg.blob.core.windows.net HTTPS 443 Krävs för att ladda ned/uppdatera säkerhetsskannern
crl.microsoft.com HTTPS 443 Krävs för att få åtkomst till offentliga Microsoft-certifikat
global-dsms.dsms.core.windows.net HTTPS 443 Krävs för att få åtkomst till offentliga Microsoft-certifikat

DNS-åtkomst

Systemet använder DNS-namn för att nå de Azure-tjänster som beskrivs i den här artikeln så att det kan använda lastbalanserare. Därför måste det virtuella nätverket köra en DNS-server som kan matcha dessa adresser. De virtuella datorerna i det virtuella nätverket respekterar den namnserver som kommuniceras via DHCP-protokollet. I de flesta fall konfigurerar Azure automatiskt en DNS-server för det virtuella nätverket. Om detta inte sker i ditt scenario är DNS-namnen som beskrivs i den här artikeln en bra guide för att komma igång.

Intern portanvändning

Följande portar är endast tillgängliga i det virtuella nätverket (eller peerkopplade virtuella nätverk./expressvägar). Azure Managed Instances för Apache Cassandra har ingen offentlig IP-adress och bör inte göras tillgänglig på Internet.

Port Använd
8443 Intern
9443 Intern
7001 Gossip – Används av Cassandra-noder för att prata med varandra
9042 Cassandra – används av klienter för att ansluta till Cassandra
7199 Intern

Nästa steg

I den här artikeln har du lärt dig om nätverksregler för att hantera tjänsten korrekt. Läs mer om Azure SQL Managed Instance för Apache Cassandra med följande artiklar: