Azure
Azure:如何將 CosmosDb 正確添加到 VNET
我有一個關於 ComsosDB 和 VNet 的問題。我想在它自己的 Vnet 中添加我的 WebApp 以及在它自己的 ComsosDB 中。但對我來說,它不確定如何將 CosmosDb 添加到 Vnet。根據這篇文章,我必須向 Cosmos 添加一個 Vnet。但由於在單選按鈕(選定網路)上有“允許訪問”標籤,我假設我必須從我的 Webapp 添加 Vnet,以便它可以訪問數據庫。這也是我所做的並且連接正常……但我不確定 CosmosDb 是否在它自己的 Vnet 中(因為我從未將它添加到一個 Vnet 中)或者它是否在同一個 Vnet 中,如 WebApp。
所以我的問題是:
就安全方式而言,設置是否正確?是不是不需要在自己的 VNet 中添加 ComsosDb?
Cosmos DB 是一項 PaaS 服務,因此並不真正“加入”vNet,但它有兩個選項可以更好地與 vNet 流量集成:
- 服務端點 - 這是您將防火牆應用於數據庫的地方,該防火牆僅限制對某些資源的訪問。這些資源之一可以是虛擬網路。流量仍會離開虛擬網路並通過 Microsoft 網路到達 Db。這就是你所做的。
- 專用連結 - 這會將數據庫注入虛擬網路,它會獲得專用 IP 地址並且流量不會離開虛擬網路。
您已完成選項 1,因此 Cosmos DB 實際上根本不在 vNet 中,您只是限制了訪問,因此只允許來自 vNet 的流量。如果這是您的目標,這是完全有效的,並且可能是最簡單的方法。
選項 2 更複雜,但意味著 Cosmos DB 實際上是 vNet 的一部分。這將在您現有的 vNet 中,而不是在它自己的 vNet 中。