Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Managed Instance för Apache Cassandra kräver vissa nätverksregler för att hantera tjänsten korrekt. Genom att se till att du har rätt regler exponerade kan du skydda din tjänst och förhindra driftsproblem.
Varning
Var försiktig när du tillämpar ändringar i brandväggsregler för ett befintligt kluster. Om reglerna till exempel inte tillämpas korrekt kanske de inte tillämpas på befintliga anslutningar, så det kan verka som om brandväggsändringar inte orsakade några problem. Automatiska uppdateringar av Azure Managed Instance för Apache Cassandra-noder kan dock misslyckas senare. Övervaka anslutningen efter några större brandväggsuppdateringar under en tid för att säkerställa att det inte finns några problem.
Tjänsttaggar för virtuellt nätverk
Om du använder ett virtuellt privat nätverk (VPN) behöver du inte öppna någon annan anslutning.
Om du använder Azure Firewall för att begränsa utgående åtkomst rekommenderar vi starkt att du använder tjänsttaggar för virtuella nätverk. Taggarna i följande tabell krävs för att Azure SQL Managed Instance för Apache Cassandra ska fungera korrekt.
| Destinationstjänsttagg | Protokoll | Hamn | Använd |
|---|---|---|---|
Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
AzureKeyVault |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret. |
EventHub |
HTTPS | 443 | Krävs för att vidarebefordra loggar till Azure. |
AzureMonitor |
HTTPS | 443 | Krävs för att vidarebefordra mått till Azure. |
AzureActiveDirectory |
HTTPS | 443 | Krävs för Microsoft Entra-autentisering. |
AzureResourceManager |
HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Krävs för loggningsåtgärder. |
GuestAndHybridManagement |
HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart). |
ApiManagement |
HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart). |
Förutom tabellen taggar måste du lägga till följande adressprefix eftersom det inte finns någon tjänsttagg för den relevanta tjänsten:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Användardefinierade vägar
Om du använder en icke-Microsoft-brandvägg för att begränsa utgående åtkomst rekommenderar vi starkt att du konfigurerar användardefinierade vägar (UDR) för Microsoft-adressprefix i stället för att försöka tillåta anslutning via din egen brandvägg. Information om hur du lägger till de nödvändiga adressprefixen i UDR:er finns i Bash-exempelskriptet.
Nätverksregler som krävs för Azure Global
I följande tabell visas de nätverksregler och IP-adressberoenden som krävs.
| Målslutpunkt | Protokoll | Hamn | Använd |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Eller ServiceTag – Azure Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
*.store.core.windows.net:443
Eller ServiceTag – Azure Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för kontrollplanskommunikation och konfiguration. |
*.blob.core.windows.net:443
Eller ServiceTag – Azure Storage |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Storage för lagring av säkerhetskopior. Säkerhetskopieringsfunktionen håller på att revideras och ett mönster för lagringsnamn följer av allmän tillgänglighet. |
vmc-p-<region>.vault.azure.net:443
Eller ServiceTag - Azure Key Vault |
HTTPS | 443 | Krävs för säker kommunikation mellan noderna och Azure Key Vault. Certifikat och nycklar används för att skydda kommunikationen i klustret. |
management.azure.com:443
Eller ServiceTag – Skalningsuppsättningar för virtuella Azure-datorer/Azure Management API |
HTTPS | 443 | Krävs för att samla in information om och hantera Cassandra-noder (till exempel omstart). |
*.servicebus.windows.net:443
Eller ServiceTag – Azure Event Hubs |
HTTPS | 443 | Krävs för att vidarebefordra loggar till Azure. |
jarvis-west.dc.ad.msft.net:443
Eller ServiceTag – Azure Monitor |
HTTPS | 443 | Krävs för att vidarebefordra mått till Azure. |
login.microsoftonline.com:443
Eller ServiceTag – Microsoft Entra-ID |
HTTPS | 443 | Krävs för Microsoft Entra-autentisering. |
packages.microsoft.com |
HTTPS | 443 | Krävs för uppdateringar av definitioner och signaturer för säkerhetsskanner för Azure. |
azure.microsoft.com |
HTTPS | 443 | Krävs för att få information om virtuella maskinskalningsuppsättningar. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certifikat för loggning. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Loggningsslutpunkt som behövs för loggning. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Behövs för metrik. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Krävs för att ladda ned/uppdatera säkerhetsskannern. |
crl.microsoft.com |
HTTPS | 443 | Behövs för att få åtkomst till offentliga Microsoft-certifikat. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Behövs för att få åtkomst till offentliga Microsoft-certifikat. |
DNS-åtkomst
Systemet använder DNS-namn (Domain Name System) för att nå de Azure-tjänster som beskrivs i den här artikeln så att det kan använda lastbalanserare. Därför måste det virtuella nätverket köra en DNS-server som kan matcha dessa adresser. De virtuella datorerna i det virtuella nätverket respekterar den namnserver som kommuniceras via Dynamic Host Configuration Protocol.
I de flesta fall konfigurerar Azure automatiskt en DNS-server för det virtuella nätverket. Om den här åtgärden inte inträffar i ditt scenario är DNS-namnen som beskrivs i den här artikeln en bra guide för att komma igång.
Intern portanvändning
Följande portar är endast tillgängliga i det virtuella nätverket eller i virtuella nätverk kopplade via peer/ExpressRoute. Instanser av Azure Managed Instance för Apache Cassandra har ingen offentlig IP-adress och bör inte göras tillgängliga på Internet.
| Hamn | Använd |
|---|---|
| 8443 | Inre. |
| 9443 | Inre. |
| 7001 | Gossip: Används av Cassandra-noder för att kommunicera med varandra. |
| 9042 | Cassandra: Används av klienter för att ansluta till Cassandra. |
| 7199 | Inre. |
Relaterat innehåll
I den här artikeln har du lärt dig om nätverksregler för att hantera tjänsten korrekt. Läs mer om Azure SQL Managed Instance för Apache Cassandra med följande artiklar: