Povolení privátního přístupu ve službě Azure Cosmos DB pro virtuální jádro MongoDB

PLATÍ PRO: Virtuální jádro MongoDB

Azure Private Link je výkonná služba, která uživatelům umožňuje připojit se k virtuálnímu jádru Azure Cosmos DB pro MongoDB prostřednictvím určeného privátního koncového bodu. Tento privátní koncový bod se skládá z privátních IP adres umístěných v podsíti ve vaší vlastní virtuální síti. Koncový bod umožňuje omezit přístup k produktu vCore služby Azure Cosmos DB for MongoDB výhradně přes privátní IP adresy. Riziko exfiltrace dat se podstatně snižuje integrací služby Private Link s přísnými zásadami NSG. Pokud chcete lépe porozumět privátním koncovým bodům, zvažte rezervaci služby Azure Private Link?

Poznámka:

Private Link vaše připojení zabezpečí, ale nezabrání překladu koncových bodů služby Azure Cosmos DB veřejným DNS. Filtrace příchozích požadavků se zpracovává na úrovni aplikace, nikoli na úrovni přepravy nebo sítě.

Private Link nabízí flexibilitu pro přístup k virtuálnímu jádru Azure Cosmos DB for MongoDB buď z vaší virtuální sítě, nebo z jakékoli připojené partnerské virtuální sítě. Kromě toho jsou prostředky propojené se službou Private Link přístupné místně prostřednictvím privátního partnerského vztahu, prostřednictvím sítě VPN nebo Azure ExpressRoute.

K navázání připojení podporuje virtuální jádro Služby Azure Cosmos DB pro MongoDB pomocí služby Private Link automatické i ruční metody schvalování. Další informace najdete v tématu Privátní koncové body ve službě Azure Cosmos DB.

Požadavky

  • Existující cluster azure Cosmos DB pro virtuální jádra MongoDB

Vytvoření clusteru s privátním koncovým bodem pomocí webu Azure Portal

Pomocí následujícího postupu vytvořte nový cluster Azure Cosmos DB pro MongoDB vCore s privátním koncovým bodem pomocí webu Azure Portal:

  1. Přihlaste se k webu Azure Portal a pak v levém horním rohu webu Azure Portal vyberte Vytvořit prostředek .

  2. Na stránce Vytvořit prostředek vyberte Databáze a pak vyberte Azure Cosmos DB.

  3. Na stránce s možností Vybrat rozhraní API na dlaždici MongoDB vyberte Vytvořit.

  4. Zvolte typ prostředku clusteru virtuálních jader.

  5. Na stránce Vytvoření clusteru virtuálních jader Azure Cosmos DB pro MongoDB vyberte nebo vytvořte skupinu prostředků, zadejte název a umístění clusteru a zadejte a potvrďte heslo správce.

  6. Vyberte Další: Sítě.

  7. Vyberte kartu Sítě pro metodu připojení a vyberte Privátní přístup.

  8. Na obrazovce Vytvořit privátní koncový bod zadejte nebo vyberte odpovídající hodnoty pro:

    Nastavení Hodnota
    Skupina prostředků Vyberte skupinu prostředků.
    Název Zadejte libovolný název vašeho privátního koncového bodu. Pokud se tento název převezme, vytvořte jedinečný název.
    Název síťového rozhraní Zadejte libovolný název síťového rozhraní. Pokud se tento název převezme, vytvořte jedinečný název.
    Umístění Vyberte oblast, do které chcete službu Private Link nasadit. Vytvořte privátní koncový bod ve stejném umístění, kde virtuální síť existuje.
    Typ prostředku Vyberte možnost Microsoft.DocumentDB/mongoClusters.
    Cílový prostředek Vyberte prostředek virtuálních jader Azure Cosmos DB pro MongoDB, který jste vytvořili.
    Cílový podsourc Vyberte typ dílčího zdroje pro prostředek, který jste vybrali dříve, aby měl váš privátní koncový bod možnost získat přístup.
    Virtuální síť Vyberte svou virtuální síť.
    Podsíť Vyberte podsíť.
    Integrovat s privátní zónou DNS Vyberte Ano. Pokud se chcete privátně připojit ke svému privátnímu koncovému bodu, potřebujete záznam DNS. Doporučujeme integrovat privátní koncový bod s privátní zónou DNS. Můžete také použít vlastní servery DNS nebo vytvořit záznamy DNS pomocí souborů hostitelů na virtuálních počítačích. Když pro tuto možnost vyberete ano, vytvoří se také skupina privátní zóny DNS. Skupina zón DNS je propojení mezi privátní zónou DNS a privátním koncovým bodem. Tento odkaz vám pomůže automaticky aktualizovat privátní zónu DNS, když dojde k aktualizaci privátního koncového bodu. Když například přidáte nebo odeberete oblasti, privátní zóna DNS se automaticky aktualizuje.
    Název konfigurace Vyberte své předplatné a skupinu prostředků. Privátní zóna DNS se určí automaticky. Nemůžete ho změnit pomocí webu Azure Portal.
  9. Vyberte OK.

  10. Vyberte Další: Zkontrolovat a vytvořit značky>. Na stránce Zkontrolovat a vytvořit a pak vyberte Vytvořit.

Povolení privátního přístupu v existujícím clusteru

Pokud chcete vytvořit privátní koncový bod k uzlu v existujícím clusteru, otevřete stránku Sítě pro cluster.

  1. Vyberte Přidat privátní koncový bod.

    Snímek obrazovky s výběrem možnosti Přidat privátní koncový bod na obrazovce Sítě

  2. Na kartě Základy na obrazovce Vytvořit privátní koncový bod potvrďte předplatné, skupinu prostředků a oblast. Zadejte název koncového bodu, například my-cluster-1, a název síťového rozhraní, například my-cluster-1-nic.

    Poznámka:

    Pokud nemáte dobrý důvod zvolit jinak, doporučujeme vybrat předplatné a oblast, které odpovídají vašemu clusteru. Výchozí hodnoty polí formuláře nemusí být správné. Zkontrolujte je a v případě potřeby je aktualizujte.

  3. Vyberte Další: Prostředek. Jako typ prostředku zvolte Microsoft.DocumentDB/mongoClusters a zvolte cílový cluster pro prostředek. V podnabídce Cíl zvolte MongoCluster.

  4. Vyberte Další: Virtuální síť. Zvolte požadovanou virtuální síť a podsíť. V části Konfigurace privátní IP adresy vyberte Staticky přidělit IP adresu nebo ponechejte výchozí dynamicky přidělovat IP adresu.

  5. Vyberte Další: DNS.

  6. V části integrace Privátní DNS u možnosti Integrace s privátní zónou DNS ponechte výchozí hodnotu Ano nebo vyberte Ne.

  7. Vyberte Další: Značky a přidejte požadované značky.

  8. Vyberte Zkontrolovat a vytvořit. Zkontrolujte nastavení a vyberte Vytvořit , když jste spokojení.

Vytvoření privátního koncového bodu pomocí Azure CLI

Spuštěním následujícího skriptu Azure CLI vytvořte privátní koncový bod myPrivateEndpoint pro existující účet služby Azure Cosmos DB. Nahraďte hodnoty proměnných podrobnostmi pro vaše prostředí.

# Resource group where the Azure Cosmos DB account and virtual network resources are located  
ResourceGroupName="myResourceGroup" 

# Name of the existing Azure Cosmos DB account  
MongovCoreClusterName="myMongoCluster" 

# Subscription ID where the Azure Cosmos DB account and virtual network resources are located  
SubscriptionId="<your Azure subscription ID>"  

# API type of your Azure Cosmos DB account: Sql, SqlDedicated, MongoCluster, Cassandra, Gremlin, or Table 
CosmosDbSubResourceType="MongoCluster"  

# Name of the virtual network to create  
VNetName="myVnet"  

# Name of the subnet to create  
SubnetName="mySubnet"  

# Name of the private endpoint to create  
PrivateEndpointName="myPrivateEndpoint"  

# Name of the private endpoint connection to create 
PrivateConnectionName="myConnection" 

az network vnet create \
  --name $VNetName \
  --resource-group $ResourceGroupName \
  --subnet-name $SubnetName 

az network vnet subnet update \
  --name <name> \
  --resource-group $ResourceGroupName \
  --vnet-name $VNetName \
  --disable-private-endpoint-network-policies true 

az network private-endpoint create \
  --name $PrivateEndpointName \
  --resource-group $ResourceGroupName \
  --vnet-name $VNetName \
  --subnet $SubnetName \
  --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.DocumentDB/mongoClusters/$MongovCoreClusterName" \
  --group-ids MongoCluster --connection-name $PrivateConnectionName 

Integrace privátního koncového bodu s privátní zónou DNS

Po vytvoření privátního koncového bodu ho můžete integrovat s privátní zónou DNS pomocí následujícího skriptu Azure CLI:

#Zone name differs based on the API type and group ID you are using. 
zoneName="privatelink.mongocluster.cosmos.azure.com" 

az network private-dns zone create \
  --resource-group $ResourceGroupName \
  --name $zoneName 

az network private-dns link vnet create --resource-group $ResourceGroupName \
  --zone-name $zoneName \
  --name <dns-link-name> \
  --virtual-network $VNetName \
  --registration-enabled false 

#Create a DNS zone group
az network private-endpoint dns-zone-group create \
  --resource-group $ResourceGroupName \
  --endpoint-name <pe-name> \
  --name <zone-group-name> \
  --private-dns-zone $zoneName \
  --zone-name mongocluster 
az network private-link-resource list \
  -g <rg-name> \
  -n <resource-name> \
  --type Microsoft.DocumentDB/mongoClusters 

Další krok