Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Voor Azure Managed Instance voor Apache Cassandra zijn bepaalde netwerkregels vereist om de service goed te beheren. Door ervoor te zorgen dat u de juiste regels beschikbaar hebt gesteld, kunt u uw service veilig houden en operationele problemen voorkomen.
Waarschuwing
Wees voorzichtig wanneer u wijzigingen toepast op firewallregels voor een bestaand cluster. Als regels bijvoorbeeld niet correct worden toegepast, worden deze mogelijk niet toegepast op bestaande verbindingen, waardoor het lijkt alsof firewallwijzigingen geen problemen hebben veroorzaakt. Automatische updates van azure Managed Instance voor Apache Cassandra-knooppunten kunnen echter later mislukken. Controleer de connectiviteit na eventuele belangrijke firewallupdates om ervoor te zorgen dat er geen problemen zijn.
Servicetags voor virtueel netwerk
Als u een virtueel particulier netwerk (VPN) gebruikt, hoeft u geen andere verbinding te openen.
Als u Azure Firewall gebruikt om uitgaande toegang te beperken, raden we u ten zeerste aan servicetags voor virtuele netwerken te gebruiken. De tags in de volgende tabel zijn vereist om Azure SQL Managed Instance voor Apache Cassandra goed te laten functioneren.
| Bestemmingsservicetag | protocol | Porto | Gebruik |
|---|---|---|---|
Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
AzureKeyVault |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen. |
EventHub |
HTTPS | 443 | Vereist voor het doorsturen van logboeken naar Azure. |
AzureMonitor |
HTTPS | 443 | Vereist voor het doorsturen van metrische gegevens naar Azure. |
AzureActiveDirectory |
HTTPS | 443 | Vereist voor Microsoft Entra-verificatie. |
AzureResourceManager |
HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Vereist voor logboekbewerkingen. |
GuestAndHybridManagement |
HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten). |
ApiManagement |
HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten). |
Naast de tabel tags moet u de volgende adresvoorvoegsels toevoegen omdat er geen servicetag bestaat voor de relevante service:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Door de gebruiker gedefinieerde routes
Als u een niet-Microsoft-firewall gebruikt om uitgaande toegang te beperken, raden we u ten zeerste aan om door de gebruiker gedefinieerde routes (UDR's) voor Microsoft-adresvoorvoegsels te configureren in plaats van connectiviteit via uw eigen firewall toe te staan. Zie het voorbeeldscript Bash om de vereiste adresvoorvoegsels toe te voegen in UDR's.
Vereiste netwerkregels voor Azure Global
De volgende tabel bevat de vereiste netwerkregels en IP-adresafhankelijkheden.
| Bestemmingspunt | protocol | Porto | Gebruik |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Of ServiceTag - Azure Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
*.store.core.windows.net:443
Of ServiceTag - Azure Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor communicatie en configuratie van het besturingsvlak. |
*.blob.core.windows.net:443
Of ServiceTag - Azure Storage |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Storage voor het opslaan van back-ups. De back-upfunctie wordt herzien en er wordt een patroon voor de opslagnaam gevolgd door algemene beschikbaarheid. |
vmc-p-<region>.vault.azure.net:443
Of ServiceTag - Azure Key Vault |
HTTPS | 443 | Vereist voor beveiligde communicatie tussen de knooppunten en Azure Key Vault. Certificaten en sleutels worden gebruikt om communicatie binnen het cluster te beveiligen. |
management.azure.com:443
of ServiceTag - Azure Virtual Machine Scale Sets/Azure Management API |
HTTPS | 443 | Vereist voor het verzamelen van informatie over en het beheren van Cassandra-knooppunten (bijvoorbeeld opnieuw opstarten). |
*.servicebus.windows.net:443
Of ServiceTag - Azure Event Hubs |
HTTPS | 443 | Vereist voor het doorsturen van logboeken naar Azure. |
jarvis-west.dc.ad.msft.net:443
Of ServiceTag - Azure Monitor |
HTTPS | 443 | Vereist voor het doorsturen van metrische gegevens naar Azure. |
login.microsoftonline.com:443
Of ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Vereist voor Microsoft Entra-verificatie. |
packages.microsoft.com |
HTTPS | 443 | Vereist voor updates voor azure-beveiligingsscannerdefinities en -handtekeningen. |
azure.microsoft.com |
HTTPS | 443 | Het is vereist om informatie over virtuele machineschaalsets op te halen. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certificaat voor logboekregistratie. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Logging-eindpunt nodig voor registratie. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Nodig voor metrische gegevens. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Nodig om de beveiligingsscanner te downloaden/bij te werken. |
crl.microsoft.com |
HTTPS | 443 | Nodig om toegang te krijgen tot openbare Microsoft-certificaten. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Nodig om toegang te krijgen tot openbare Microsoft-certificaten. |
DNS-toegang
Het systeem gebruikt DNS-namen (Domain Name System) om de Azure-services te bereiken die in dit artikel worden beschreven, zodat deze load balancers kunnen gebruiken. Daarom moet het virtuele netwerk een DNS-server uitvoeren die deze adressen kan omzetten. De virtuele machines in het virtuele netwerk respecteren de naamserver die wordt gecommuniceerd via het Dynamic Host Configuration Protocol.
In de meeste gevallen stelt Azure automatisch een DNS-server in voor het virtuele netwerk. Als deze actie niet voorkomt in uw scenario, zijn de DNS-namen die in dit artikel worden beschreven, een goede handleiding om aan de slag te gaan.
Intern poortgebruik
De volgende poorten zijn alleen toegankelijk binnen het virtuele netwerk (of gekoppelde virtuele netwerken/expressroutes). Exemplaren van Azure Managed Instance voor Apache Cassandra hebben geen openbaar IP-adres en mogen niet toegankelijk worden gemaakt op internet.
| Porto | Gebruik |
|---|---|
| 8443 | Intern. |
| 9443 | Intern. |
| 7001 | Gossip: Wordt gebruikt door Cassandra-knooppunten om onderling te communiceren. |
| 9042 | Cassandra: wordt gebruikt door clients om verbinding te maken met Cassandra. |
| 7199 | Intern. |
Verwante inhoud
In dit artikel hebt u geleerd over netwerkregels om de service goed te beheren. Meer informatie over Azure SQL Managed Instance voor Apache Cassandra vindt u in de volgende artikelen: