Azure：如何將 CosmosDb 正確添加到 VNET

我有一個關於 ComsosDB 和 VNet 的問題。我想在它自己的 Vnet 中添加我的 WebApp 以及在它自己的 ComsosDB 中。但對我來說，它不確定如何將 CosmosDb 添加到 Vnet。根據這篇文章，我必須向 Cosmos 添加一個 Vnet。但由於在單選按鈕（選定網路）上有“允許訪問”標籤，我假設我必須從我的 Webapp 添加 Vnet，以便它可以訪問數據庫。這也是我所做的並且連接正常……但我不確定 CosmosDb 是否在它自己的 Vnet 中（因為我從未將它添加到一個 Vnet 中）或者它是否在同一個 Vnet 中，如 WebApp。

這是我的設置

所以我的問題是：

就安全方式而言，設置是否正確？是不是不需要在自己的 VNet 中添加 ComsosDb？

Cosmos DB 是一項 PaaS 服務，因此並不真正“加入”vNet，但它有兩個選項可以更好地與 vNet 流量集成：

1. 服務端點 - 這是您將防火牆應用於數據庫的地方，該防火牆僅限制對某些資源的訪問。這些資源之一可以是虛擬網路。流量仍會離開虛擬網路並通過 Microsoft 網路到達 Db。這就是你所做的。
2. 專用連結 - 這會將數據庫注入虛擬網路，它會獲得專用 IP 地址並且流量不會離開虛擬網路。

您已完成選項 1，因此 Cosmos DB 實際上根本不在 vNet 中，您只是限制了訪問，因此只允許來自 vNet 的流量。如果這是您的目標，這是完全有效的，並且可能是最簡單的方法。

選項 2 更複雜，但意味著 Cosmos DB 實際上是 vNet 的一部分。這將在您現有的 vNet 中，而不是在它自己的 vNet 中。

引用自：https://serverfault.com/questions/1064754