带有用于 CosmosDB 访问的子网分段的 Azure VNET

问题描述 投票:0回答:1

是否有可能拥有一个带有子网分段的 VNET,并仅允许某些 FunctionApps(在子网“A”中)通过专用链接访问 CosmosDB,同时阻止数据库访问不同子网上的其他 FunctionApps(在子网“B”中)?

例如:

VNET:

  • 默认子网 => CosmosDB 的私有链接

  • subnet A => 需要通过 Private Link 连接到 CosmosDB 的 FunctionApps

  • 子网 B => 不需要连接到 CosmosDB 的 FunctionApps

我已经在子网 A 中使用 FunctionApps 实现了第一个场景,通过默认子网上的专用链接连接到 CosmosDB。

现在,如果可能的话,我需要阻止(出于安全原因)子网“B”上的其他 FunctionApps。

谢谢

azure azure-cosmosdb subnet vnet azure-private-link
1个回答
0
投票

您可以创建一个网络安全组 (NSG) 并将其添加到您的默认子网以禁用任何不是来自子网 A 的流量。

您可以从默认规则集开始,该规则集允许使用规则

AllowVnetInBound
的虚拟网络中的所有流量。然后创建一个具有更高优先级的类似规则,执行相同的操作,但操作为“拒绝”。这将禁用子网内的所有流量。

然后,您可以使用其 IP 范围专门为子网 A 制定规则,以仅允许来自子网 A 的流量到达默认子网。

同样,如果这对您的用例更有意义,您也可以这样做,但拒绝子网 B 的传出流量。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.