設定 Azure Cosmos DB 帳戶的網路安全性周邊

適用於：NoSQL

本文說明如何在 Azure Cosmos DB 帳戶上設定網路安全性周邊。

重要

網路安全性周邊處於公開預覽狀態。 此功能已推出但不提供服務等級協定。 如需詳細資訊，請參閱 Microsoft Azure 預覽版增補使用條款。

功能概觀

網路管理員可以為其 PaaS 服務定義網路隔離界限，以允許其 Azure Cosmos DB 帳戶與 Keyvault、SQL 和其他使用 Azure 網路安全性周邊的服務之間的通訊。 您可以透過數種方式，在 Azure 服務上保護公用存取：

• 保護輸入連線：藉由明確授與周邊內部資源的輸入存取權，限制 Azure Cosmos DB 帳戶的公開暴露。 根據預設，系統會拒絕從未經授權的網路存取，並設定從私人端點存取訂用帳戶中的周邊或資源。
• 保護服務對服務通訊：周邊內的所有資源都可以與周邊內的任何其他資源通訊，以防止數據外流。
• 保護輸出連線：如果網路安全性周邊未管理目的地租使用者，它會在嘗試將數據從某個租用戶複製到另一個租用戶時封鎖存取。 根據 FQDN 或來自其他網路周邊的存取權來授與存取權;所有其他存取嘗試都會遭到拒絕。

設定網路安全性周邊之後，所有這些通訊都會自動處理，且使用者不需要管理這些通訊。 最上層的網路安全性周邊會啟用這項功能，而不是為每個資源設定私人端點來啟用通訊或設定虛擬網路。

注意

Azure 網路安全性周邊可補充我們目前已具備的內容，包括私人端點，其允許存取周邊內的私人資源，以及允許受控 VNet 供應專案存取周邊內的資源。 我們目前不支援 Azure 網路安全周邊、客戶管理的金鑰 （CMK） 和記錄存放區功能的組合，例如分析存放區、所有版本和刪除變更摘要模式、具體化檢視和時間點還原。 如果您需要使用 Azure 網路安全周邊在已啟用 CMK 的帳戶上執行還原，您將暫時需要放寬密鑰保存庫中的周邊設定，以允許 Cosmos DB 帳戶存取密鑰。

開始使用

重要

在設定網路安全性周邊 之前，請在 Azure 中建立受控識別。

• 在 Azure 入口網站 中，搜尋資源清單中的網路安全性周邊，然後選取 [建立 +]。
• 從資源清單中，選取您想要與周邊建立關聯的資源。
• 新增輸入存取規則，來源類型可以是IP位址或訂用帳戶。
• 新增輸出存取規則，以允許周邊內的資源連線到因特網，以及周邊外部的資源。

如果您有現有的 Azure Cosmos DB 帳戶，並想要新增安全性周邊：

• 從 [設定] 中選取 [網络功能]

• 然後，選取 [建立 NSP 關聯]，讓此資源與您的網路安全性周邊產生關聯，以啟用與相同周邊中其他 Azure 資源的通訊，同時限制公用存取只允許您指定的連線。

下一步

• 網路服務周邊概觀
• 瞭解如何使用 網路安全性周邊的診斷記錄進行監視