我对 ComsosDB 和 VNets 有疑问。我想将我的 WebApp 添加到它自己的 Vnet 中,并将 ComsosDB 添加到它自己的 Vnet 中。但对于我来说,不确定如何将 CosmosDb 添加到 Vnet。根据这文章我必须向 Cosmos 添加一个 Vnet。但由于单选按钮(选定网络)上有“允许访问”标签,我假设我必须从我的 Webapp 添加 Vnet,以便它可以访问数据库。这也是我所做的,连接正在运行……但我不确定 CosmosDb 是否在它自己的 Vnet 中(因为我从未将它添加到 Vnet 中)或者它是否与 WebApp 位于同一个 Vnet 中。
所以我的问题是:
从安全角度来看,这些设置是否正确?是否不需要在其自己的 VNet 中添加 ComsosDb?
答案1
Cosmos DB 是一项 PaaS 服务,因此实际上并没有“加入” vNet,但是它有两个选项可以更好地与 vNet 流量集成:
- 服务端点 - 在这里,您将防火墙应用于数据库,以限制仅对某些资源的访问。这些资源之一可以是虚拟网络。流量仍然离开虚拟网络并通过 Microsoft 网络到达数据库。这就是您所做的。
- 专用链接 - 将数据库注入虚拟网络,获得专用 IP 地址,并且流量不会离开虚拟网络。
您已完成选项 1,因此 Cosmos DB 实际上根本不在 vNet 中,您只是限制了访问权限,因此只允许来自 vNet 的流量。如果这是您的目标,那么这是完全有效的,并且可能是最简单的方法。
选项 2 更为复杂,但这意味着 Cosmos DB 实际上是您的 vNet 的一部分。它将位于您现有的 vNet 中,而不是位于其自己的 vNet 中。