Применяются ли группы безопасности сети к обслуживаемым конечным точкам подсети

Я создал подсеть, в которой подключаю Cosmos DB как конечную точку службы. Помимо брандмауэра IP Cosmos DB, я хочу контролировать исходящий трафик через правила NSG. Однако, если я создам правило, которое запрещает все исходящие (также проверено с запретом всех входящих), оно, похоже, должно действовать при подключении к БД через клиент Mongo.

Это ожидаемое поведение?


azure azure-cosmosdb vnet network-security-groups
person Lau    schedule 11.09.2019    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Да, это ожидаемое поведение при доступе к Cosmos DB из виртуальной сети с включенной конечной точкой службы. Вот два момента в вашем вопросе:

  • Группа безопасности сети может быть связана с уровнем подсети или сетевого интерфейса. В этом случае, когда группа безопасности сети связана с подсетью, правила применяются ко всем ресурсам, подключенным к подсети. Если NSG подсети имеет правило сопоставления, которое запрещает трафик, пакеты отбрасываются, даже если NSG VM \ NIC имеет правило сопоставления, разрешающее трафик. Прочтите здесь1 и здесь2.

введите здесь описание изображения

  • Когда вы включаете Cosmos DB в качестве конечной точки службы в виртуальной сети, она расширяет пространство частных адресов виртуальной сети и удостоверение виртуальной сети до служб Azure через прямое соединение. Трафик из вашей виртуальной сети в службу Azure всегда остается в магистральной сети Microsoft Azure.
    # P3 #

Итак, если вы обращаетесь к Cosmos DB из виртуальной сети, он будет использовать частный IP-адрес в этой виртуальной сети для доступа к службе Azure Cosmos DB. Если вы обращаетесь к Cosmos DB за пределами Azure, вы будете ограничены IP-адресом брандмауэра Cosmos DB.

person Nancy Xiong    schedule 12.09.2019
comment
А, я помню. Эта диаграмма была в первых уроках. Спасибо за указатель. - person Lau; 12.09.2019