Delen via

Privétoegang inschakelen in Azure Cosmos DB voor MongoDB vCore

  • Artikel

VAN TOEPASSING OP: MongoDB vCore

Azure Private Link is een krachtige service waarmee gebruikers via een aangewezen privé-eindpunt verbinding kunnen maken met Azure Cosmos DB voor MongoDB vCore. Dit privé-eindpunt bestaat uit privé-IP-adressen die zich in een subnet in uw eigen virtuele netwerk bevinden. Met het eindpunt kunt u de toegang tot het Azure Cosmos DB voor MongoDB vCore-product beperken via privé-IP-adressen. Het risico op gegevensexfiltratie is aanzienlijk verminderd door Private Link te integreren met strikt NSG-beleid. Voor een beter begrip van privé-eindpunten kunt u overwegen wat is Azure Private Link?

Notitie

Private Link beveiligt uw verbinding, maar verhindert niet dat uw Azure Cosmos DB-eindpunten worden omgezet door openbare DNS. De filtratie van binnenkomende aanvragen wordt verwerkt op toepassingsniveau, niet op transport- of netwerkniveau.

Private Link biedt de flexibiliteit om toegang te krijgen tot azure Cosmos DB voor MongoDB vCore vanuit uw virtuele netwerk of vanuit een verbonden gekoppeld virtueel netwerk. Daarnaast zijn resources die zijn gekoppeld aan Private Link on-premises toegankelijk via privépeering, via VPN of Azure ExpressRoute.

Om een verbinding tot stand te brengen, ondersteunt Azure Cosmos DB voor MongoDB vCore met Private Link zowel automatische als handmatige goedkeuringsmethoden. Zie privé-eindpunten in Azure Cosmos DB voor meer informatie.

Vereisten

Een cluster maken met een privé-eindpunt met behulp van Azure Portal

Volg deze stappen om een nieuw Azure Cosmos DB voor MongoDB vCore-cluster te maken met een privé-eindpunt met behulp van Azure Portal:

  1. Meld u aan bij Azure Portal en selecteer vervolgens Een resource maken in de linkerbovenhoek van Azure Portal.

  2. Selecteer databases op de pagina Een resource maken en selecteer vervolgens Azure Cosmos DB.

  3. Selecteer Maken op de pagina API-optie selecteren op de tegel MongoDB .

  4. Kies het resourcetype vCore-cluster .

  5. Op de pagina Een Azure Cosmos DB voor MongoDB vCore-cluster maken, selecteert of maakt u een resourcegroep, voert u een clusternaam en locatie in en voert u het beheerderswachtwoord in en bevestigt u dit.

  6. Selecteer Volgende: Netwerken.

  7. Selecteer het tabblad Netwerken voor connectiviteitsmethode en selecteer Privétoegang.

  8. Voer in het scherm Privé-eindpunt maken de juiste waarden in of selecteer deze voor:

    Instelling Weergegeven als
    Resourcegroep Selecteer een resourcegroep.
    Naam Voer een naam in voor uw privé-eindpunt. Als deze naam wordt gebruikt, maakt u een unieke naam.
    Netwerkinterfacenaam Voer een willekeurige naam in voor uw netwerkinterface. Als deze naam wordt gebruikt, maakt u een unieke naam.
    Locatie Selecteer de regio waar u Private Link wilt implementeren. Maak het privé-eindpunt op dezelfde locatie waar uw virtuele netwerk bestaat.
    Brontype Selecteer Microsoft.DocumentDB/mongoClusters.
    Doelbron Selecteer de Azure Cosmos DB voor MongoDB vCore-resource die u hebt gemaakt.
    Subresource van doel Selecteer het type subresource voor de resource die u eerder hebt geselecteerd en waartoe uw privé-eindpunt toegang moet hebben.
    Virtueel netwerk Selecteer uw virtuele netwerk.
    Subnet Selecteer uw subnet.
    Integreren met privé-DNS-zone Selecteer Ja. Als u privé verbinding wilt maken met uw privé-eindpunt, hebt u een DNS-record nodig. We raden u aan uw privé-eindpunt te integreren met een privé-DNS-zone. U kunt ook uw eigen DNS-servers gebruiken of DNS-records maken met behulp van de hostbestanden op uw virtuele machines. Wanneer u ja selecteert voor deze optie, wordt er ook een privé-DNS-zonegroep gemaakt. DNS-zonegroep is een koppeling tussen de privé-DNS-zone en het privé-eindpunt. Met deze koppeling kunt u de privé-DNS-zone automatisch bijwerken wanneer het privé-eindpunt wordt bijgewerkt. Wanneer u bijvoorbeeld regio's toevoegt of verwijdert, wordt de privé-DNS-zone automatisch bijgewerkt.
    Configuratienaam Selecteer uw abonnement en resourcegroep. De privé-DNS-zone wordt automatisch bepaald. U kunt deze niet wijzigen met behulp van Azure Portal.

  9. Selecteer OK.

  10. Selecteer Volgende : Labels>beoordelen en maken. Selecteer op de pagina Beoordelen en maken de optie Maken.

Privétoegang inschakelen op een bestaand cluster

Als u een privé-eindpunt wilt maken voor een knooppunt in een bestaand cluster, opent u de pagina Netwerken voor het cluster.

  1. Selecteer Privé-eindpunt toevoegen.

    Schermopname van het selecteren van Privé-eindpunt toevoegen op het netwerkscherm.

  2. Bevestig op het tabblad Basis van het scherm Een privé-eindpunt maken het abonnement, de resourcegroep en de regio. Voer een naam in voor het eindpunt, zoals mijn-cluster-1 en een netwerkinterfacenaam, zoals my-cluster-1-nic.

    Notitie

    Tenzij u een goede reden hebt om anders te kiezen, raden we u aan een abonnement en regio te kiezen die overeenkomen met die van uw cluster. De standaardwaarden voor de formuliervelden zijn mogelijk niet juist. Controleer deze en werk deze indien nodig bij.

  3. Selecteer Volgende: Resource. Kies Microsoft.DocumentDB/mongoClusters voor resourcetype en kies het doelcluster voor Resource. Kies 'MongoCluster' voor doelsubresource.

  4. Selecteer Volgende: Virtueel netwerk. Kies het gewenste virtuele netwerk en subnet. Selecteer onder Privé-IP-configuratie statisch IP-adres toewijzen of behoud het standaard-IP-adres, dynamisch IP-adres toewijzen.

  5. Selecteer Volgende: DNS.

  6. Houd onder Privé-DNS-integratie voor Integratie met privé-DNS-zone de standaard Ja of selecteer Nee.

  7. Selecteer Volgende: Tags en voeg eventuele gewenste tags toe.

  8. Selecteer Controleren + maken. Controleer de instellingen en selecteer Maken wanneer u tevreden bent.

Een privé-eindpunt maken met behulp van Azure CLI

Voer het volgende Azure CLI-script uit om een privé-eindpunt met de naam myPrivateEndpoint te maken voor een bestaand Azure Cosmos DB-account. Vervang de variabelewaarden door de details voor uw omgeving.

# Resource group where the Azure Cosmos DB account and virtual network resources are located  
ResourceGroupName="myResourceGroup" 

# Name of the existing Azure Cosmos DB account  
MongovCoreClusterName="myMongoCluster" 

# Subscription ID where the Azure Cosmos DB account and virtual network resources are located  
SubscriptionId="<your Azure subscription ID>"  

# API type of your Azure Cosmos DB account: Sql, SqlDedicated, MongoCluster, Cassandra, Gremlin, or Table 
CosmosDbSubResourceType="MongoCluster"  

# Name of the virtual network to create  
VNetName="myVnet"  

# Name of the subnet to create  
SubnetName="mySubnet"  

# Name of the private endpoint to create  
PrivateEndpointName="myPrivateEndpoint"  

# Name of the private endpoint connection to create 
PrivateConnectionName="myConnection" 

az network vnet create \
  --name $VNetName \
  --resource-group $ResourceGroupName \
  --subnet-name $SubnetName 

az network vnet subnet update \
  --name <name> \
  --resource-group $ResourceGroupName \
  --vnet-name $VNetName \
  --disable-private-endpoint-network-policies true 

az network private-endpoint create \
  --name $PrivateEndpointName \
  --resource-group $ResourceGroupName \
  --vnet-name $VNetName \
  --subnet $SubnetName \
  --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.DocumentDB/mongoClusters/$MongovCoreClusterName" \
  --group-ids MongoCluster --connection-name $PrivateConnectionName

Het privé-eindpunt integreren met een privé-DNS-zone

Nadat u het privé-eindpunt hebt gemaakt, kunt u dit integreren met een privé-DNS-zone met behulp van het volgende Azure CLI-script:

#Zone name differs based on the API type and group ID you are using. 
zoneName="privatelink.mongocluster.cosmos.azure.com" 

az network private-dns zone create \
  --resource-group $ResourceGroupName \
  --name $zoneName 

az network private-dns link vnet create --resource-group $ResourceGroupName \
  --zone-name $zoneName \
  --name <dns-link-name> \
  --virtual-network $VNetName \
  --registration-enabled false 

#Create a DNS zone group
az network private-endpoint dns-zone-group create \
  --resource-group $ResourceGroupName \
  --endpoint-name <pe-name> \
  --name <zone-group-name> \
  --private-dns-zone $zoneName \
  --zone-name mongocluster 

az network private-link-resource list \
  -g <rg-name> \
  -n <resource-name> \
  --type Microsoft.DocumentDB/mongoClusters

Volgende stap

Azure Cosmos DB voor MongoDB vCore uitproberen