Фото від Growtika на Unsplash
Azure Cosmos DB — це глобально розподілена багатомодельна служба бази даних, яка пропонує готове глобальне розподілення в будь-якій кількості регіонів Azure. При використанні Azure Cosmos DB з MongoDB API в режимі vCore важливо налаштувати мережеві параметри для забезпечення безпечного і приватного доступу до вашої бази даних. У цій статті ми розглянемо необхідні кроки для налаштування приватного доступу до вашої Azure Cosmos DB для MongoDB vCore.
Розуміння приватного доступу та налаштування Private Link
Приватний доступ гарантує, що ваша екземпляр Azure Cosmos DB буде доступний лише з вашої віртуальної мережі (VNet). Це налаштування покращує безпеку, запобігаючи публічному доступу до вашої бази даних через інтернет.
Private Link надає більш безпечний і масштабований спосіб доступу до сервісів Azure приватно, шляхом прив’язки їх до приватної кінцевої точки у вашій VNet. Цей метод гарантує, що трафік між вашою VNet та Azure Cosmos DB залишатиметься в межах мережі Azure.
- Створіть приватну кінцеву точку: У порталі Azure створіть приватну кінцеву точку для вашого облікового запису Azure Cosmos DB. Ця кінцева точка отримає приватну IP-адресу з вашої VNet.
- Налаштування DNS: Налаштуйте ваші DNS параметри, щоб дозволити резолюцію імені облікового запису Azure Cosmos DB на приватну IP-адресу приватної кінцевої точки.
- Групи безпеки мережі (NSG): Застосуйте NSG до підмережі, що містить приватну кінцеву точку, щоб контролювати вхідний і вихідний трафік.
- Тестування з’єднання: Перевірте, чи може ваш додаток підключитися до Azure Cosmos DB, використовуючи приватну кінцеву точку.
Для більш детальних кроків зверніться до статті.
Важливий момент, який слід пам’ятати під час створення приватної кінцевої точки, — це чи потрібно інтегрувати її з приватною зоною DNS Azure чи ні.
Якщо ви вибираєте інтеграцію з приватною зоною DNS Azure, то DNS записи приватної кінцевої точки автоматично додаються до DNS записів Azure.
Але якщо ви плануєте використовувати власний сервер DNS і вибрали "Ні" на сторінці налаштувань DNS, переконайтеся, що записи DNS для приватної кінцевої точки додано до вашого DNS-сервера.
Ось кілька кроків, яких ви можете дотримуватися, щоб переконатися, що приватна кінцева точка налаштована правильно, і клієнтські додатки можуть підключатися до Azure Cosmos DB для MongoDB vCore кластера.
- Виконайте команду nslookup, щоб перевірити, чи ім’я кластера повертає srv hostname/FQDN та номер порту.
- Синтаксис: nslookup -type=SRV _mongodb.tcp..[mongocluster.cosmos.azure.com](https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Furldefense.com%2Fv3%2Fhttp%3A%2Fmongocluster.cosmos.azure.com%3B%21%21N8Xdb1VRTUMlZeI%21gNZYNulHgbh4zxMxajgEtE09fyHz0RxSvkegU6FfsqflAgoKQU5afhod5maS_4WcRaBT1w2xyLeAkk%24&data=05%7C02%7Ctonytomy%40microsoft.com%7C84eae508e2144206b5b108dd393317f3%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638729613859359062%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=%2B1Roi8ZhaSVdXTiGOnNxQ0lfcEomG8OcdE9VFRgbhaY%3D&reserved=0)
- Виконайте команду nslookup, щоб перевірити, чи ім’я кластера повертає приватну IP-адресу.
- Синтаксис: nslookup srv hostname
- Якщо ви виконаєте ту саму команду поза віртуальною мережею, де була створена приватна кінцева точка, вона поверне публічну IP-адресу.
Примітка: Private Link забезпечує вашу з’єднаність, однак це не заважає розв’язувати ваші кінцеві точки Azure Cosmos DB через публічний DNS. Фільтрація вхідних запитів здійснюється на рівні застосунку, а не на рівні транспорту чи мережі.
- Переконайтеся, що порт 10260 дозволено у файрволі вашого клієнтського додатка для доступу до Azure Cosmos DB для MongoDB vCore кластера з вашого клієнтського додатка.
Перекладено з: Azure Cosmos DB for MongoDB vCore: Networking Configurations for Private Access