Habilitar o acesso privado no vCore do Azure Cosmos DB for MongoDB
APLICA-SE AO: 
MongoDB vCore
O Link Privado do Azure é um serviço poderoso que permite que os usuários se conectem ao Azure Cosmos DB for MongoDB vCore por meio de um ponto de extremidade privado designado. Esse ponto de extremidade privado consiste em endereços IP privados localizados em uma sub-rede em sua própria rede virtual. O ponto de extremidade permite restringir o acesso ao produto Azure Cosmos DB for MongoDB vCore somente em IPs privados. O risco de exfiltração dos dados é substancialmente reduzido, integrando o Link Privado a políticas rigorosas de NSG. Para obter uma compreensão mais profunda dos pontos de extremidade privados, considere fazer check-out O que é o Link Privado do Azure?.
Observação
O Link Privado protege sua conexão, no entanto, não impede que os pontos de extremidade do Azure Cosmos DB sejam resolvidos pelo DNS público. A filtragem de solicitações de entrada é tratada no nível do aplicativo, não no nível de transporte ou rede.
O Link Privado oferece a flexibilidade para acessar o Azure Cosmos DB for MongoDB vCore de dentro de sua rede virtual ou de qualquer rede virtual emparelhada conectada. Além disso, os recursos vinculados ao Link Privado são acessíveis localmente por meio de emparelhamento privado, por meio de VPN ou do Azure ExpressRoute.
Para estabelecer uma conexão, o Azure Cosmos DB for MongoDB vCore com Link Privado dá suporte a métodos de aprovação automáticos e manuais. Para mais informações, confira Pontos de extremidade privados para o Azure Cosmos DB.
Pré-requisitos
- Um cluster vCore do Azure Cosmos DB for MongoDB existente.
- Caso não tenha uma assinatura do Azure, crie uma conta gratuitamente.
- Se você tiver uma assinatura existente do Azure, crie um cluster VCore do Azure Cosmos DB for MongoDB.
Criar um cluster com um ponto de extremidade privado usando o portal do Azure
Siga estas etapas para criar um novo cluster vCore do Azure Cosmos DB para MongoDB com um ponto de extremidade privado usando o portal do Azure:
Entre no portal do Azure e selecione Criar um recurso no canto superior esquerdo do portal do Azure.
Na página Criar um recurso, selecione Bancos de dados e, em seguida, selecione Azure Cosmos DB.
Na página de opção Selecionar API, no bloco do MongoDB, selecione Criar.
Escolha o tipo de recurso Cluster vCore.
Na página Criar um cluster vCore do Azure Cosmos DB for MongoDB, selecione ou crie um Grupo de recursos, insira um Nome de cluster e local e insira e confirme a senha do administrador.
Selecione Avançar: Rede.
Selecione a guia Rede e, para o Método de conectividade, selecione Acesso privado.
Na tela Criar ponto de extremidade privado, insira ou selecione os valores adequados para:
Configuração Valor Grupo de recursos Selecione um grupo de recursos. Nome Insira qualquer nome para seu ponto de extremidade privado. Se esse nome já estiver sendo usado, crie um exclusivo. Nome do adaptador de rede Insira qualquer nome para o adaptador de rede. Se esse nome já estiver sendo usado, crie um exclusivo. Localidade Selecione a região em que você deseja implantar o Link Privado. Crie o ponto de extremidade privado no mesmo local em que sua rede virtual existe. Tipo de recurso Selecione Microsoft.DocumentDB/mongoClusters.Recurso de destino Selecione o recurso de vCore do Azure Cosmos DB for MongoDB criado. Sub-recurso de destino Selecione o tipo de sub-recurso para o recurso selecionado anteriormente que seu ponto de extremidade privado deve ter a capacidade de acessar. Rede virtual Selecione sua rede virtual. Sub-rede Selecione sua sub-rede. Integrar com a zona DNS privado Selecione Sim na barra superior. Para se conectar em particular com o seu ponto de extremidade privado, você precisa de um registro DNS. Recomendamos que você integre seu ponto de extremidade privado a uma zona DNS privada. Você também pode usar seus próprios servidores DNS ou criar registros DNS usando os arquivos host em suas máquinas virtuais. Quando você seleciona sim para essa opção, um grupo de zona DNS privado também é criado. O grupo de zona DNS é um vínculo entre a zona DNS privado e o ponto de extremidade privado. Esse link ajuda a atualizar automaticamente a zona DNS privado quando houver uma atualização para o ponto de extremidade privado. Por exemplo, quando você adiciona ou remove regiões, a zona DNS privada é atualizada automaticamente. Nome da configuração Selecione sua Assinatura e grupo de recursos. A zona DNS privada é determinada automaticamente. Você não pode alterá-la usando o portal do Azure. Selecione OK.
Selecione Avançar: marcas>Revisão + criar. Na página Examinar + criar, selecione Criar.
Habilitar o acesso privado em um cluster existente
Para criar um ponto de extremidade privado para um nó em um cluster existente, abra a página Rede do cluster.
SelecioneAdicionar ponto de extremidade privado.
Na guia Informações básicas da tela Criar um ponto de extremidade privado, confirme a Assinatura, o Grupo de recursos e a Região. Insira um Nome para o ponto de extremidade, como my-cluster-1, e um Nome do adaptador de rede, como my-cluster-1-nic.
Observação
Recomendamos a escolha de uma assinatura e uma região que correspondam às do grupo de servidores, a menos que haja um bom motivo para fazer outra escolha. Os valores padrão para os campos de formulário podem não estar corretos. Verifique-os e atualize-os, se necessário.
Selecione Avançar: Recurso. Escolha “Microsoft.DocumentDB/mongoClusters” para tipo de recurso e escolha o cluster de destino para Recurso. Para Sub-recurso de destino, escolha “MongoCluster”.
Selecione Próximo: Rede Virtual. Escolha a Rede virtual e a Sub-rede desejadas. Em Configuração de IP privado, selecione Alocar endereço IP estaticamente ou mantenha o Endereço IP alocado dinamicamente padrão.
Selecione Avançar: DNS.
Em Integração de DNS privado, para Integrar à zona DNS privada, mantenha o padrão Sim ou selecione Não.
Selecione Avançar: marcas e adicione as marcas desejadas.
Selecione Examinar + criar. Examine as configurações e selecione Criar quando estiver satisfeito.
Criar um ponto de extremidade privado usando a CLI do Azure
Execute o script da CLI do Azure a seguir para criar um ponto de extremidade privado chamado myPrivateEndpoint para uma conta do Azure Cosmos DB existente. Substitua os valores de variável pelos detalhes do seu ambiente.
# Resource group where the Azure Cosmos DB account and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Name of the existing Azure Cosmos DB account
MongovCoreClusterName="myMongoCluster"
# Subscription ID where the Azure Cosmos DB account and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# API type of your Azure Cosmos DB account: Sql, SqlDedicated, MongoCluster, Cassandra, Gremlin, or Table
CosmosDbSubResourceType="MongoCluster"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name <name> \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.DocumentDB/mongoClusters/$MongovCoreClusterName" \
--group-ids MongoCluster --connection-name $PrivateConnectionName
Integrar o ponto de extremidade privado a uma zona DNS privada
Após criar o ponto de extremidade privado, você poderá integrá-lo a uma zona DNS privada usando o seguinte script da CLI do Azure:
#Zone name differs based on the API type and group ID you are using.
zoneName="privatelink.mongocluster.cosmos.azure.com"
az network private-dns zone create \
--resource-group $ResourceGroupName \
--name $zoneName
az network private-dns link vnet create --resource-group $ResourceGroupName \
--zone-name $zoneName \
--name <dns-link-name> \
--virtual-network $VNetName \
--registration-enabled false
#Create a DNS zone group
az network private-endpoint dns-zone-group create \
--resource-group $ResourceGroupName \
--endpoint-name <pe-name> \
--name <zone-group-name> \
--private-dns-zone $zoneName \
--zone-name mongocluster
Comandos do MongoClusters no Link Privado
az network private-link-resource list \
-g <rg-name> \
-n <resource-name> \
--type Microsoft.DocumentDB/mongoClusters