你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Managed Instance for Apache Cassandra 服务需要某些网络规则才能正确管理服务。 通过确保公开适当的规则,可以保持服务的安全性并防止出现操作问题。
警告
建议谨慎在对现有群集的防火墙规则应用更改。 例如,如果规则未正确应用,它们可能不会应用于现有连接,因此防火墙更改似乎没有导致任何问题。 但是,Cassandra 托管实例节点的自动更新随后可能会失败。 建议在任何主要防火墙更新一段时间后监视连接,以确保没有任何问题。
虚拟网络服务标记
提示
如果使用 VPN,则无需打开任何其他连接。
如果使用 Azure 防火墙限制出站访问,强烈建议使用虚拟网络服务标记。 表中的标记是使 Azure SQL Managed Instance for Apache Cassandra 正常运行所需的。
| 目标服务标记 | 协议 | 端口 | 用途 |
|---|---|---|---|
| 存储 | HTTPS | 443 | 对于在控制平面通信和配置的节点与 Azure 存储之间进行安全通信是必需的。 |
| AzureKeyVault | HTTPS | 443 | 对于在节点和 Azure Key Vault 之间进行安全通信是必需的。 证书和密钥用于保护群集内部的通信安全。 |
| EventHub | HTTPS | 443 | 对于将日志转发到 Azure 是必需的 |
| AzureMonitor | HTTPS | 443 | 对于向 Azure 转发指标是必需的 |
| AzureActiveDirectory | HTTPS | 443 | Microsoft Entra 身份验证需要此项。 |
| AzureResourceManager | HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
| AzureFrontDoor.Firstparty | HTTPS | 443 | 对于日志记录操作是必需的。 |
| GuestAndHybridManagement | HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
| ApiManagement | HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
注意
除了标记表外,还需要添加以下地址前缀,因为相关服务不存在服务标记:104.40.0.0/13 13.104.0.0/14 40.64.0.0/10
用户定义路由
如果使用非 Microsoft 防火墙来限制出站访问,强烈建议为 Microsoft 地址前缀配置用户定义的路由 (UDR),而不是尝试通过自己的防火墙允许连接。 请参阅示例 bash 脚本,在用户定义的路由中添加所需的地址前缀。
Azure 全球的必需网络规则
必需的网络规则和 IP 地址依赖项如下:
| 目标终结点 | 协议 | 端口 | 使用 |
|---|---|---|---|
| snovap<region>.blob.core.windows.net:443 或 ServiceTag - Azure 存储 |
HTTPS | 443 | 对于在控制平面通信和配置的节点与 Azure 存储之间进行安全通信是必需的。 |
| *.store.core.windows.net:443 或 ServiceTag - Azure 存储 |
HTTPS | 443 | 对于在控制平面通信和配置的节点与 Azure 存储之间进行安全通信是必需的。 |
| *.blob.core.windows.net:443 或 ServiceTag - Azure 存储 |
HTTPS | 443 | 对于在节点与 Azure 存储之间进行安全通信以存储备份是必需的。 正在修订备份功能,将遵循正式发布的存储名称模式 |
| vmc-p-<region>.vault.azure.net:443 或 ServiceTag - Azure KeyVault |
HTTPS | 443 | 对于在节点和 Azure Key Vault 之间进行安全通信是必需的。 证书和密钥用于保护群集内部的通信安全。 |
| management.azure.com:443 或 ServiceTag - Azure 虚拟机规模集/Azure 管理 API |
HTTPS | 443 | 对于收集有关 Cassandra 节点(例如,reboot)的信息并管理这些节点是必需的 |
| *.servicebus.windows.net:443 或 ServiceTag - Azure EventHub |
HTTPS | 443 | 对于将日志转发到 Azure 是必需的 |
| jarvis-west.dc.ad.msft.net:443 或 ServiceTag - Azure Monitor |
HTTPS | 443 | 对于将指标转发到 Azure 是必需的 |
| login.microsoftonline.com:443 或 ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Microsoft Entra 身份验证需要此项。 |
| packages.microsoft.com | HTTPS | 443 | 对于 Azure 安全扫描程序定义和签名更新是必需的 |
| azure.microsoft.com | HTTPS | 443 | 对于获取有关虚拟机规模集的信息是必需的 |
| <region>-dsms.dsms.core.windows.net | HTTPS | 443 | 用于日志记录的证书 |
| gcs.prod.monitoring.core.windows.net | HTTPS | 443 | 日志记录所需的日志记录终结点 |
| global.prod.microsoftmetrics.com | HTTPS | 443 | 指标所必需的 |
| shavsalinuxscanpkg.blob.core.windows.net | HTTPS | 443 | 下载/更新安全扫描程序所必需的 |
| crl.microsoft.com | HTTPS | 443 | 访问公共 Microsoft 证书所必需的 |
| global-dsms.dsms.core.windows.net | HTTPS | 443 | 访问公共 Microsoft 证书所必需的 |
DNS 访问
系统使用 DNS 名称来访问本文中所述的 Azure 服务,以便可以使用负载均衡器。 因此,虚拟网络必须运行一个可解析这些地址的 DNS 服务器。 虚拟网络中的虚拟机优先处理通过 DHCP 协议进行通信的名称服务器。 在大多数情况下,Azure 会自动为虚拟网络设置一个 DNS 服务器。 如果在你的应用场景中没有出现这种情况,则本文中所述的 DNS 名称将是一个很好的入门指南。
内部端口使用情况
只能在虚拟网络(或对等互连的 vnet./express 路由)中访问以下端口。 Azure Managed Instances for Apache Cassandra 没有公共 IP,不应通过 Internet 对它进行访问。
| 端口 | 用途 |
|---|---|
| 8443 | 内部 |
| 9443 | 内部 |
| 7001 | Gossip - 供 Cassandra 节点用于相互通信 |
| 9042 | Cassandra -供客户端用于连接到 Cassandra |
| 7199 | 内部 |
后续步骤
本文介绍了正确管理服务的网络规则。 请参阅以下文章详细了解 Azure SQL Managed Instance for Apache Cassandra: