Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Managed Instance pour Apache Cassandra nécessite certaines règles réseau pour gérer correctement le service. En vous assurant que vous disposez des règles appropriées exposées, vous pouvez sécuriser votre service et éviter les problèmes opérationnels.
Avertissement
Soyez prudent lorsque vous appliquez des modifications aux règles de pare-feu pour un cluster existant. Par exemple, si les règles ne sont pas appliquées correctement, elles peuvent ne pas être appliquées aux connexions existantes. Par conséquent, il peut apparaître que les modifications de pare-feu n’ont pas rencontré de problèmes. Toutefois, les mises à jour automatiques des nœuds Azure Managed Instance pour Apache Cassandra peuvent échouer ultérieurement. Surveillez la connectivité après les mises à jour majeures du pare-feu pendant un certain temps pour vous assurer qu’il n’y a aucun problème.
Balises de service du réseau virtuel
Si vous utilisez un réseau privé virtuel (VPN), vous n’avez pas besoin d’ouvrir une autre connexion.
Si vous utilisez le Pare-feu Azure pour restreindre l’accès sortant, nous vous recommandons vivement d’utiliser des balises de service de réseau virtuel. Les balises du tableau suivant sont requises pour que Azure SQL Managed Instance pour Apache Cassandra fonctionne correctement.
| Étiquette de service de destination | Protocol | Port | Utilisation |
|---|---|---|---|
Storage |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour la communication et la configuration du plan de contrôle |
AzureKeyVault |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Azure Key Vault. Les certificats et les clés sont utilisés pour sécuriser la communication à l’intérieur du cluster |
EventHub |
HTTPS | 443 | Requis pour transférer des journaux vers Azure. |
AzureMonitor |
HTTPS | 443 | Requis pour transférer des métriques vers Azure. |
AzureActiveDirectory |
HTTPS | 443 | Obligatoire pour l’authentification Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Requis pour les opérations de journalisation. |
GuestAndHybridManagement |
HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer). |
ApiManagement |
HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer). |
Outre la table des balises, vous devez ajouter les préfixes d’adresse suivants, car une balise de service n’existe pas pour le service approprié :
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Itinéraires définis par l’utilisateur
Si vous utilisez un pare-feu non Microsoft pour restreindre l’accès sortant, nous vous recommandons vivement de configurer des itinéraires définis par l’utilisateur pour les préfixes d’adresses Microsoft au lieu de tenter d’autoriser la connectivité via votre propre pare-feu. Pour ajouter les préfixes d’adresses requis dans les UDR, consultez l’exemple de script Bash.
Règles de réseau requises pour Azure Global
Le tableau suivant répertorie les règles réseau requises et les dépendances d’adresse IP.
| Point de terminaison de destination | Protocol | Port | Utilisation |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443Ou ServiceTag - Stockage Azure |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour la communication et la configuration du plan de contrôle |
*.store.core.windows.net:443Ou ServiceTag - Stockage Azure |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour la communication et la configuration du plan de contrôle |
*.blob.core.windows.net:443Ou ServiceTag - Stockage Azure |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Stockage Azure pour stocker les sauvegardes. La fonctionnalité de sauvegarde est en cours de révision et un schéma pour le nom de stockage sera disponible après la disponibilité générale. |
vmc-p-<region>.vault.azure.net:443Ou ServiceTag - Azure Key Vault |
HTTPS | 443 | Requis pour une communication sécurisée entre les nœuds et Azure Key Vault. Les certificats et les clés sont utilisés pour sécuriser la communication à l’intérieur du cluster |
management.azure.com:443Ou ServiceTag - Ensembles d'échelles de machines virtuelles Azure/API de gestion Azure |
HTTPS | 443 | Requis pour collecter des informations sur les nœuds Cassandra et les gérer (par exemple, redémarrer). |
*.servicebus.windows.net:443Ou ServiceTag - Azure Event Hubs |
HTTPS | 443 | Requis pour transférer des journaux vers Azure. |
jarvis-west.dc.ad.msft.net:443Ou ServiceTag - Azure Monitor |
HTTPS | 443 | Requis pour transférer des métriques vers Azure. |
login.microsoftonline.com:443Ou ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Obligatoire pour l’authentification Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Requis pour les mises à jour apportées à la définition et aux signatures du scanneur de sécurité Azure. |
azure.microsoft.com |
HTTPS | 443 | Requis pour obtenir des informations sur les groupes de machines virtuelles identiques. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certificat pour la journalisation. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Point de terminaison d'enregistrement requis pour la gestion des logs. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Nécessaire pour les métriques. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Nécessaire pour télécharger/mettre à jour le scanneur de sécurité. |
crl.microsoft.com |
HTTPS | 443 | Nécessaire pour accéder aux certificats Microsoft publics. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Nécessaire pour accéder aux certificats Microsoft publics. |
Accès DNS
Le système utilise des noms DNS (Domain Name System) pour atteindre les services Azure décrits dans cet article afin qu’il puisse utiliser des équilibreurs de charge. Pour cette raison, le réseau virtuel doit exécuter un serveur DNS capable de résoudre ces adresses. Les machines virtuelles du réseau virtuel respectent le serveur de noms qui est communiqué par le biais du protocole de configuration de l’hôte dynamique.
Dans la plupart des cas, Azure configure automatiquement un serveur DNS pour le réseau virtuel. Si cette action ne se produit pas dans votre scénario, les noms DNS décrits dans cet article constituent un bon guide pour commencer.
Utilisation du port interne
Les ports suivants sont accessibles uniquement au sein du réseau virtuel (ou des réseaux virtuels appairés/itinéraires express). Les instances d’Azure Managed Instance pour Apache Cassandra n’ont pas d’adresse IP publique et ne doivent pas être rendues accessibles sur Internet.
| Port | Utilisation |
|---|---|
| 8443 | Interne. |
| 9443 | Interne. |
| 7001 | Gossip : utilisé par les nœuds Cassandra pour communiquer entre eux. |
| 9042 | Cassandra : utilisé par les clients pour se connecter à Cassandra. |
| 7199 | Interne. |
Contenu connexe
Dans cet article, vous avez découvert les règles de réseau pour gérer correctement le service. Pour en savoir plus sur Azure SQL Managed Instance for Apache Cassandra, consultez les articles suivants :