Azure:如何正确将 CosmosDb 添加到 VNET

Azure:如何正确将 CosmosDb 添加到 VNET

我对 ComsosDB 和 VNets 有疑问。我想将我的 WebApp 添加到它自己的 Vnet 中,并将 ComsosDB 添加到它自己的 Vnet 中。但对于我来说,不确定如何将 CosmosDb 添加到 Vnet。根据文章我必须向 Cosmos 添加一个 Vnet。但由于单选按钮(选定网络)上有“允许访问”标签,我假设我必须从我的 Webapp 添加 Vnet,以便它可以访问数据库。这也是我所做的,连接正在运行……但我不确定 CosmosDb 是否在它自己的 Vnet 中(因为我从未将它添加到 Vnet 中)或者它是否与 WebApp 位于同一个 Vnet 中。

这是我的设置

所以我的问题是:

从安全角度来看,这些设置是否正确?是否不需要在其自己的 VNet 中添加 ComsosDb?

答案1

Cosmos DB 是一项 PaaS 服务,因此实际上并没有“加入” vNet,但是它有两个选项可以更好地与 vNet 流量集成:

  1. 服务端点 - 在这里,您将防火墙应用于数据库,以限制仅对某些资源的访问。这些资源之一可以是虚拟网络。流量仍然离开虚拟网络并通过 Microsoft 网络到达数据库。这就是您所做的。
  2. 专用链接 - 将数据库注入虚拟网络,获得专用 IP 地址,并且流量不会离开虚拟网络。

您已完成选项 1,因此 Cosmos DB 实际上根本不在 vNet 中,您只是限制了访问权限,因此只允许来自 vNet 的流量。如果这是您的目标,那么这是完全有效的,并且可能是最简单的方法。

选项 2 更为复杂,但这意味着 Cosmos DB 实际上是您的 vNet 的一部分。它将位于您现有的 vNet 中,而不是位于其自己的 vNet 中。

相关内容