Sdílet prostřednictvím

Konfigurace hraniční sítě pro účet služby Azure Cosmos DB

  • Článek

PLATÍ PRO: NoSQL

Tento článek vysvětluje, jak nakonfigurovat hraniční síť zabezpečení sítě na účtu služby Azure Cosmos DB.

Důležité

Hraniční síť je ve verzi Public Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Přehled funkcí

Správci sítě můžou definovat hranici izolace sítě pro své služby PaaS, což umožňuje komunikaci mezi účtem služby Azure Cosmos DB a službou Keyvault, SQL a dalšími službami pomocí hraniční sítě Azure. Zabezpečení veřejného přístupu ve službě Azure je možné provést několika způsoby:

  • Zabezpečení příchozích připojení: Omezte veřejné vystavení účtu služby Azure Cosmos DB tím, že explicitně udělujete přístup příchozího přenosu dat k prostředkům uvnitř hraniční sítě. Ve výchozím nastavení je možné nakonfigurovat přístup z neoprávněných sítí a přístup z privátních koncových bodů k hraniční síti nebo prostředkům v předplatném.
  • Zabezpečení komunikace mezi službami: Všechny prostředky uvnitř hraniční sítě můžou komunikovat s jinými prostředky v rámci hraniční sítě, což brání exfiltraci dat.
  • Zabezpečení odchozích připojení: Pokud hraniční síť nespravuje cílového tenanta, blokuje přístup při pokusu o kopírování dat z jednoho tenanta do druhého. Přístup je udělen na základě plně kvalifikovaného názvu domény nebo přístupu z jiných hraničních sítí; všechny ostatní pokusy o přístup jsou odepřeny.

Snímek obrazovky znázorňující hraniční síťovou službu

Veškerá tato komunikace se postará automaticky po nastavení hraniční sítě a uživatelé je nemusí spravovat. Místo nastavení privátního koncového bodu pro každý prostředek pro povolení komunikace nebo konfigurace virtuální sítě povolí hraniční síť sítě na nejvyšší úrovni tuto funkci.

Poznámka:

Hraniční síť Azure doplňuje to, co aktuálně používáme, včetně privátního koncového bodu, který umožňuje přístup k privátnímu prostředku v rámci hraniční sítě, a injektáž virtuální sítě, která umožňuje spravovaným nabídkám virtuálních sítí přistupovat k prostředkům v rámci hraniční sítě. V současné době nepodporujeme kombinaci hraniční sítě Azure, klíčů spravovaných zákazníkem (CMK) a funkcí úložiště protokolů, jako je analytické úložiště, všechny verze a odstranění režimu kanálu změn, materializovaná zobrazení a obnovení k určitému bodu v čase. Pokud potřebujete provést obnovení účtu s podporou CMK s hraniční sítí Azure, budete dočasně muset uvolnit nastavení hraniční sítě v trezoru klíčů, abyste umožnili vašemu účtu Cosmos DB přístup ke klíči.

Začínáme

Důležité

Před nastavením hraniční sítě vytvořte spravovanou identitu v Azure.

  • Na webu Azure Portal vyhledejte hraniční sítě v seznamu prostředků a vyberte Vytvořit +.
  • V seznamu prostředků vyberte prostředky, které chcete přidružit k hraniční síti.
  • Přidejte příchozí pravidlo přístupu, typ zdroje může být IP adresa nebo předplatné.
  • Přidejte pravidla odchozího přístupu, která umožňují prostředkům uvnitř hraniční sítě připojovat se k internetu a prostředkům mimo hraniční síť.

V případech, kdy máte existující účet služby Azure Cosmos DB a chcete přidat hraniční síť zabezpečení:

  • V nastavení vyberte Sítě.

Snímek obrazovky znázorňující, jak přidat NSP k prostředku Azure

  • Potom výběrem možnosti Přidružit NSP pro přidružení tohoto prostředku k hraniční síti povolte komunikaci s jinými prostředky Azure ve stejné hraniční síti a omezte veřejný přístup tak, aby povolovala pouze zadaná připojení.

Další kroky