Безопасный доступ к CosmosDB из службы приложений

Question

У меня есть приложение node.js, развернутое в Azure Службах приложений, которое использует CosmosDB для хранения данных приложения. Все работает нормально.

Однако я бы хотел заблокировать доступ к экземпляру CosmosDB на сетевом уровне для лучшей защиты данных.

Следуя документации, я настроил виртуальную сеть, добавил в нее приложение службы приложений, настроил конечную точку службы для CosmosDB и ограничил доступ к экземпляру БД, чтобы разрешить только виртуальную сеть.

Я повторял это несколько раз, ждал обновления всего (12-24 часа), но безрезультатно. Я постоянно получаю сообщения об ошибках подключения, когда приложение пытается вызвать БД после выполнения вышеуказанных настроек.

У кого-нибудь есть идеи? Я довольно расстроен и собираюсь вместо этого перейти на AWS, но мой клиент заинтересован сделать Azure по ряду разных причин.

Answer 1

Согласно моим исследованиям, если вы хотите разрешить службе приложений получать доступ к базе данных космоса внутри Vnet. нам нужно интегрировать Vnet со службой приложений с региональной VNet интеграцией. После этого мы можем получить доступ к базе данных космос через конечные точки обслуживания. Но это не может позволить нам достичь ресурсов через глобальные пиринговые связи. Это означает, что приложение app и cosmos db должны находиться в одном регионе. Для получения более подробной информации, пожалуйста, обратитесь к docuemnt

Кроме того, если вы хотите получить доступ к ресурсам в разных регионах, я предлагаю вам использовать среду службы приложений. Относительно вопроса, пожалуйста, обратитесь к статье