Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Instância Gerenciada do Azure para Apache Cassandra requer determinadas regras de rede para gerenciar corretamente o serviço. Ao garantir que você tenha as regras adequadas expostas, você pode manter seu serviço seguro e evitar problemas operacionais.
Aviso
Tenha cuidado ao aplicar alterações às regras de firewall para um cluster existente. Por exemplo, se as regras não forem aplicadas corretamente, elas podem não ser aplicadas às conexões existentes, portanto, pode parecer que as alterações no firewall não causaram problemas. No entanto, as atualizações automáticas da Instância de Gestão do Azure para nós Apache Cassandra podem eventualmente falhar. Monitore a conectividade após as principais atualizações do firewall por algum tempo para garantir que não haja problemas.
Etiquetas de serviço da rede virtual
Se você usa uma rede virtual privada (VPN), não precisa abrir nenhuma outra conexão.
Se você usa o Firewall do Azure para restringir o acesso de saída, é altamente recomendável usar marcas de serviço de rede virtual. As tags na tabela a seguir são necessárias para que a Instância Gerenciada SQL do Azure para Apache Cassandra funcione corretamente.
| Etiqueta de serviço de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
Storage |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para comunicação e configuração do Plano de Controle. |
AzureKeyVault |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Cofre da Chave do Azure. Certificados e chaves são usados para proteger a comunicação dentro do cluster. |
EventHub |
HTTPS | 443 | Necessário para encaminhar logs para o Azure. |
AzureMonitor |
HTTPS | 443 | Necessário para encaminhar métricas para o Azure. |
AzureActiveDirectory |
HTTPS | 443 | Necessário para autenticação do Microsoft Entra. |
AzureResourceManager |
HTTPS | 443 | Necessário para recolher informações e gerir nós de Cassandra (por exemplo, reiniciar). |
AzureFrontDoor.Firstparty |
HTTPS | 443 | Necessário para operações de registro. |
GuestAndHybridManagement |
HTTPS | 443 | Necessário para recolher informações e gerenciar os nós de Cassandra (por exemplo, reiniciar). |
ApiManagement |
HTTPS | 443 | Necessário para recolher informações e gerir nós Cassandra (por exemplo, reiniciar). |
Além da tabela de tags, você precisa adicionar os seguintes prefixos de endereço porque não existe uma tag de serviço para o serviço relevante:
- 104.40.0.0/13
- 13.104.0.0/14
- 40.64.0.0/10
Rotas definidas pelo utilizador
Se você estiver usando um firewall que não seja da Microsoft para restringir o acesso de saída, é altamente recomendável configurar rotas definidas pelo usuário (UDRs) para prefixos de endereço da Microsoft em vez de tentar permitir a conectividade por meio de seu próprio firewall. Para adicionar os prefixos de endereço necessários em UDRs, consulte o script Bash de exemplo.
Regras de rede necessárias do Azure Global
A tabela a seguir lista as regras de rede necessárias e as dependências de endereço IP.
| Ponto de extremidade de destino | Protocolo | Porta | Utilizar |
|---|---|---|---|
snovap<region>.blob.core.windows.net:443
Ou ServiceTag - Armazenamento do Azure |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para comunicação e configuração do Plano de Controle. |
*.store.core.windows.net:443
Ou ServiceTag - Armazenamento do Azure |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para comunicação e configuração do Plano de Controle. |
*.blob.core.windows.net:443
Ou ServiceTag - Armazenamento do Azure |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Armazenamento do Azure para armazenar backups. O recurso de backup está a ser revisto e um padrão para o nome do armazenamento será adotado aquando da disponibilidade geral. |
vmc-p-<region>.vault.azure.net:443
Ou ServiceTag - Azure Key Vault |
HTTPS | 443 | Necessário para comunicação segura entre os nós e o Cofre da Chave do Azure. Certificados e chaves são usados para proteger a comunicação dentro do cluster. |
management.azure.com:443
Ou ServiceTag - Conjuntos de Escala de Máquina Virtual do Azure/API de Gerenciamento do Azure |
HTTPS | 443 | Necessário para recolher informações sobre e gerir nós do Cassandra (por exemplo, reiniciar). |
*.servicebus.windows.net:443
Ou ServiceTag - Hubs de Eventos do Azure |
HTTPS | 443 | Necessário para encaminhar logs para o Azure. |
jarvis-west.dc.ad.msft.net:443
Ou ServiceTag - Azure Monitor |
HTTPS | 443 | Necessário para encaminhar métricas para o Azure. |
login.microsoftonline.com:443
Ou ServiceTag - Microsoft Entra ID |
HTTPS | 443 | Necessário para autenticação do Microsoft Entra. |
packages.microsoft.com |
HTTPS | 443 | Necessário para atualizações da definição e assinaturas do scanner de segurança do Azure. |
azure.microsoft.com |
HTTPS | 443 | Necessário para obter informações sobre conjuntos de dimensionamento de máquinas virtuais. |
<region>-dsms.dsms.core.windows.net |
HTTPS | 443 | Certificado para registro em log. |
gcs.prod.monitoring.core.windows.net |
HTTPS | 443 | Ponto de extremidade de registro necessário para o registro. |
global.prod.microsoftmetrics.com |
HTTPS | 443 | Necessário para métricas. |
shavsalinuxscanpkg.blob.core.windows.net |
HTTPS | 443 | Necessário para baixar/atualizar o verificador de segurança. |
crl.microsoft.com |
HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft. |
global-dsms.dsms.core.windows.net |
HTTPS | 443 | Necessário para acessar certificados públicos da Microsoft. |
Acesso DNS
O sistema usa nomes DNS (Sistema de Nomes de Domínio) para acessar os serviços do Azure descritos neste artigo para que possa usar balanceadores de carga. Por esse motivo, a rede virtual deve executar um servidor DNS que possa resolver esses endereços. As máquinas virtuais na rede virtual respeitam o servidor de nomes que é fornecido pelo Protocolo de Configuração Dinâmica de Host.
Na maioria dos casos, o Azure configura automaticamente um servidor DNS para a rede virtual. Se essa ação não ocorrer no seu cenário, os nomes DNS descritos neste artigo são um bom guia para começar.
Utilização da porta interna
As portas a seguir são acessíveis somente dentro da rede virtual (ou redes virtuais emparelhadas/rotas expressas). As instâncias da Instância Gerenciada do Azure para Apache Cassandra não têm um IP público e não devem ser disponibilizadas na Internet.
| Porta | Utilizar |
|---|---|
| 8443 | Interna. |
| 9443 | Interna. |
| 7001 | Gossip: Usado por nós de Cassandra para comunicarem entre si. |
| 9042 | Cassandra: É usado por clientes para se conectarem ao Cassandra. |
| 7199 | Interna. |
Conteúdo relacionado
Neste artigo, você aprendeu sobre as regras de rede para gerenciar corretamente o serviço. Saiba mais sobre a Instância Gerenciada SQL do Azure para Apache Cassandra com os seguintes artigos: