Могу ли я ограничить любой общедоступный доступ из Интернета, кроме блокировки всех IP-адресов?
На самом деле, включив конечную точку службы, вы ограничили, что только запросы, исходящие от этогоподсеть может обращаться к базе данных Azure Cosmos. Трафик из вашей виртуальной сети в службу Azure всегда остается в магистральной сети Microsoft Azure. Таким образом, это безопасный способ доступа к ресурсам в Azure.
После включения конечной точки службы исходные IP-адреса виртуальных машин в подсети переключаются с использования общедоступных IPv4-адресов на использование их частного IPv4-адреса при взаимодействии сслужба из этой подсети. Кроме того, NSG по умолчанию, связанный с этой подсетью, продолжает работать с конечными точками службы, читайте здесь . Если вы хотите запретить весь исходящий интернет-трафик и разрешить доступ к Космос БД только из этой подсети, вы можете добавить метку службы в качестве пункта назначения в правилах исходящих сообщений в NSG.
edit
Вы могли бы взглянуть на эту закрытую ссылку Azure (превью) , но, похоже, она еще не доступна для учетной записи Azure Cosmos DB.
Частная связь Azure позволяет вам получать доступ к службам Azure PaaS (например, хранилище Azure и база данных SQL) и размещенным в Azure службам клиентов / партнеров через частную конечную точку в вашей виртуальной сети. Трафик между вашей виртуальной сетью и службой проходит через магистральную сеть Microsoft, исключая воздействие в общедоступном Интернете.