gpt4 book ai didi

azure - SDG 是否适用于子网的服务端点

转载 作者:行者123 更新时间:2023-12-03 05:42:07 27 4
gpt4 key购买 nike

我创建了一个子网,在其中连接 Cosmos DB 作为服务端点。除了 Cosmos DB 的 IP 防火墙之外,我还想通过 NSG 规则控制出站。但是,如果我创建一条规则,拒绝所有出站(也通过拒绝所有入站进行测试),当通过 Mongo 客户端连接到数据库时,它似乎必须生效。

这是预期的行为吗?

最佳答案

是的,从启用服务端点的 VNet 访问 Cosmos DB 时,这是预期行为。您的问题有两点:

  • NSG 可以与子网或网络接口(interface)级别关联。在这种情况下,当 NSG 与子网关联时,规则适用于连接到该子网的所有资源。如果子网 NSG 具有拒绝流量的匹配规则,则即使 VM\NIC NSG 具有允许流量的匹配规则,数据包也会被丢弃。阅读 here1here2 .

enter image description here

  • 当您在 VNet 中启用 Cosmos DB 作为服务端点时,它将通过直接连接将您的虚拟网络专用地址空间和 VNet 身份扩展到 Azure 服务。从 VNet 到 Azure 服务的流量始终保留在 Microsoft Azure 主干网络上。

    Today, Azure service traffic from a virtual network uses public IP addresses as source IP addresses. With service endpoints, service traffic switches to use virtual network private addresses as the source IP addresses when accessing the Azure service from a virtual network. This switch allows you to access the services without the need for reserved, public IP addresses used in IP firewalls.

因此,如果从 VNet 访问 Cosmos DB,它将使用该 VNet 中的专用 IP 地址来访问 Azure Cosmos DB 服务。如果您在Azure之外访问Cosmos DB,您将受到Cosmos DB的防火墙IP地址的限制。

关于azure - SDG 是否适用于子网的服务端点,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57888151/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com