تكوين الوصول إلى Azure Cosmos DB من الشبكات الظاهرية (NET.)

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على: واجهة برمجة تطبيقاتSQL وواجهة برمجة تطبيقات Cassandra وواجهة برمجة تطبيقات Gremlin وواجهة برمجة تطبيقات Table وواجهة برمجة تطبيقات Azure Cosmos DB API for MongoDB

يمكنك تكوين حساب Azure Cosmos للسماح بالوصول فقط من شبكة فرعية معينة من الشبكة الظاهرية (NET.). بتمكين نقطة تقديم الخدمة للوصول إلى Azure Cosmos DB على الشبكة الفرعية ضمن شبكة ظاهرية، تُرسَل نسبة استخدام الشبكة من تلك الشبكة الفرعية إلى Azure Cosmos DB بهوية الشبكة الفرعية والشبكة الظاهرية. بمجرد تمكين نقطة نهاية خدمة Azure Cosmos DB، يمكنك تقييد الوصول إلى الشبكة الفرعية بإضافتها إلى حساب Azure Cosmos الخاص بك.

يمكن الوصول إلى حساب Azure Cosmos افتراضيًا من أي مصدر إذا كان الطلب مصحوبًا برمز تخويل صالح. عند إضافة شبكة فرعية واحدة أو أكثر داخل الشبكات الظاهرية، لن تحصل أي طلبات على استجابة صحيحة سوى تلك التي تنشأ من هذه الشبكات الفرعية فقط. ستتلقى الطلبات التي تنشأ من أي مصدر آخر استجابة 403 (محظورة).

يمكنك تكوين حسابات Azure Cosmos DB للسماح بالوصول من شبكة فرعية معينة من Azure VirtualNET.work فقط. للحد من الوصول إلى حساب Azure Cosmos DB باستخدام اتصالات من شبكة فرعية في شبكة ظاهرية:

1. مكِّن الشبكة الفرعية لإرسال هوية الشبكة الفرعية والشبكة الظاهرية إلى Azure Cosmos DB. يمكنك تنفيذ ذلك عن طريق تمكين نقطة تقديم خدمة لـ Azure Cosmos DB على الشبكة الفرعية المحددة.

2. أضف قاعدة في حساب Azure Cosmos DB لتحديد الشبكة الفرعية كمصدر يمكن من خلاله الوصول إلى الحساب.

ملاحظة

عند تمكين نقطة تقديم خدمة لحساب Azure Cosmos DB على شبكة فرعية، فإن مصدر نسبة استخدام الشبكة الذي يصل إلى Azure Cosmos DB يتحول من IP عام إلى شبكة ظاهرية وشبكة فرعية. ينطبق تبديل نسبة استخدام الشبكة على أي حساب Azure Cosmos DB يتم الوصول إليه من هذه الشبكة الفرعية. إذا احتوت حسابات Azure Cosmos DB على جدار حماية يستند إلى IP للسماح لهذه الشبكة الفرعية، فلن تتطابق الطلبات الواردة من الشبكة الفرعية التي تدعم الخدمة مع قواعد جدار حماية الـ IP بعد الآن وتُرفَض.

لمعرفة المزيد، راجع الخطوات الموضحة في القسم الترحيل من قاعدة جدار حماية الـ IP إلى قائمة التحكم في الوصول إلى شبكة ظاهرية من هذه المقالة.

توضح الأقسام التالية كيفية تكوين نقطة تقديم خدمة الشبكة الظاهرية لحساب Azure Cosmos DB.

تكوين نقطة تقديم خدمة باستخدام مدخل Microsoft Azure

تكوين نقطة تقديم خدمة لشبكة Azure ظاهرية وشبكة فرعية موجودة

1. من جزء جميع الموارد، ابحث عن حساب Azure Cosmos DB الذي تريد تأمينه.

2. حدد جدران الحماية والشبكات الظاهرية من قائمة الإعدادات، واختر السماح بالوصول من الشبكات المحددة.

3. لمنح حق الوصول إلى شبكة فرعية الشبكة الظاهرية الموجودة، فضمن الشبكات الظاهرية، حدد إضافة Azure VirtualNET.work الموجودة.

4. حدد الاشتراك الذي تريد إضافة شبكة Azure ظاهرية منه. حدد شبكات Azure الظاهرية والشبكات الفرعية التي تريد منحها حق الوصول إلى حسابك على Azure Cosmos DB. بعد ذلك، حدد "Enable" لتمكين الشبكات المحددة مع نقاط خدمة الخدمة لـ "Microsoft.AzureCosmosDB". عند اكتمال ذلك، حدد "Add" .

   

   ملاحظة

   قد يستغرق تكوين نقطة تقديم خدمة الشبكة الظاهرية 15 دقيقة للنشر، وقد تظهر نقطة تقديم الخدمة سلوك غير متناسقة أثناء هذه الفترة.

5. بعد تمكين حساب Azure Cosmos DB للوصول من شبكة ظاهرية، سيسمح ذلك بالنقل من هذه الشبكة الفرعية المحددة فقط. يجب أن تظهر الشبكة الظاهرية والشبكة الفرعية المضافتان كما هو موضح في لقطة الشاشة التالية:

   

ملاحظة

لتمكين نقاط تقديم خدمة الشبكة الظاهرية، تحتاج للحصول على أذونات الاشتراك التالية:

• الاشتراك مع الشبكة الظاهرية: مساهم في الشبكة
• الاشتراك مع حساب Azure Cosmos DB: مساهم في حساب DocumentDB
• إذا كانت الشبكة الظاهرية وحساب Azure Cosmos DB مشتركين في اشتراكات مختلفة، فتأكد من أن الاشتراك الذي يحتوي على الشبكة الظاهرية تتضمن موفر الموارد Microsoft.DocumentDB المسجل. لتسجيل موفر مورد، راجع مقالة موفري موارد Azure وأنواعها.

فيما يلي إرشادات تسجيل الاشتراك مع موفر الموارد.

تكوين نقطة تقديم خدمة لشبكة ظاهرية وشبكة فرعية جديدة من Azure

1. من جزء جميع الموارد، ابحث عن حساب Azure Cosmos DB الذي تريد تأمينه.

2. حدد جدران الحماية وشبكات Azure الظاهرية من قائمة الإعدادات، واختر السماح بالوصول من الشبكات المحددة.

3. لمنح حق الوصول إلى Azure VirtualNET.work الجديدة، فضمن الشبكات الظاهرية، حدد إضافة شبكة ظاهرية جديدة.

4. قدِّم التفاصيل المطلوبة لإنشاء شبكة ظاهرية جديدة، ثم حدد "Create" . ستُنشأ الشبكة الفرعية مع تمكين نقطة تقديم خدمة لـ Microsoft.AzureCosmosDB.

   

إذا كان حسابك على Azure Cosmos DB تستخدمه خدمات Azure الأخرى مثل Azure Cognitive Search، أو تم الوصول إليه من تحليلات Stream أو Power BI، فعليك السماح بالوصول عن طريق تحديد قبول الاتصالات من داخل مراكز بيانات Azure العامة.

لضمان الحصول على حق الوصول إلى قياسات Azure Cosmos DB من المدخل، تحتاج إلى تمكين الخيارات السماح بالوصول من مدخل Microsoft Azure. لمعرفة المزيد عن هذه الخيارات، راجع مقالة تكوين جدار حماية الـ IP. بعد تمكين الوصول، حدد "Save" لحفظ الإعدادات.

إزالة شبكة اتصال ظاهرية أو شبكة فرعية

1. من جزء جميع الموارد، ابحث عن حساب Azure Cosmos DB الذي عيّنت نقاط تقديم خدمة له.

2. حدد جدران الحماية والشبكات الظاهرية من قائمة الإعدادات.

3. لإزالة قاعدة الشبكة الظاهرية أو الشبكة الفرعية، حدد ... بجوار الشبكة الظاهرية أو الشبكة الفرعية، وحدد "Remove" .

   

4. حدد «حفظ» لتطبيق التغييرات الخاصة بك.

تكوين نقطة تقديم خدمة باستخدام Azure PowerShell

ملاحظة

تستخدم هذه المقالة الوحدة النمطية Azure Az PowerShell، وهي الوحدة النمطية PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

اتبع الخطوات التالية لتكوين نقطة تقديم خدمة لحساب AZURE Cosmos DB باستخدام Azure PowerShell:

1. ثبِّت Azure PowerShellوسجِّل الدخول.

2. مكِّن نقطة تقديم الخدمة لشبكة فرعية موجودة في شبكة ظاهرية.

   $resourceGroupName = "<Resource group name>"
   $vnetName = "<Virtual network name>"
   $subnetName = "<Subnet name>"
   $subnetPrefix = "<Subnet address range>"
   $serviceEndpoint = "Microsoft.AzureCosmosDB"
   
   Get-AzVirtualNetwork `
      -ResourceGroupName $resourceGroupName `
      -Name $vnetName | Set-AzVirtualNetworkSubnetConfig `
      -Name $subnetName `
      -AddressPrefix $subnetPrefix `
      -ServiceEndpoint $serviceEndpoint | Set-AzVirtualNetwork
   

   ملاحظة

   عند استخدام PowerShell أو Azure CLI، تأكد من تحديد القائمة الكاملة لعوامل تصفية IP وقوائم ACL للشبكة الظاهرية في المعلمات، وليس في تلك التي تحتاج إلى إضافتها فقط.

3. احصل على معلومات عن الشبكة الظاهرية.

   $vnet = Get-AzVirtualNetwork `
      -ResourceGroupName $resourceGroupName `
      -Name $vnetName
   
   $subnetId = $vnet.Id + "/subnets/" + $subnetName
   

4. إعداد قاعدة الشبكة الظاهرية لـ COSMOS DB

   $vnetRule = New-AzCosmosDBVirtualNetworkRule `
      -Id $subnetId
   

5. حدِّث خصائص حساب Azure Cosmos DB باستخدام تكوينات نقطة تقديم خدمة الشبكة الظاهرية الجديدة:

   $accountName = "<Cosmos DB account name>"
   
   Update-AzCosmosDBAccount `
      -ResourceGroupName $resourceGroupName `
      -Name $accountName `
      -EnableVirtualNetwork $true `
      -VirtualNetworkRuleObject @($vnetRule)
   

6. شغِّل الأمر التالي للتحقق من تحديث حساب Azure Cosmos DB باستخدام نقطة تقديم خدمة الشبكة الظاهرية التي كوّنتها في الخطوة السابقة:

   $account = Get-AzCosmosDBAccount `
      -ResourceGroupName $resourceGroupName `
      -Name $accountName
   
   $account.IsVirtualNetworkFilterEnabled
   $account.VirtualNetworkRules
   

تكوين نقطة تقديم خدمة باستخدام Azure CLI

يمكن تكوين حسابات Azure Cosmos لنقاط تقديم الخدمة عند إنشائها أو تحديثها في وقت لاحق في حالة تكوين الشبكة الفرعية مسبقًا لها. يمكن تمكين نقاط تقديم الخدمة أيضًا على حساب Cosmos الذي لم تُكوَن فيه شبكة فرعية لها حتى الآن ومن ثم ستبدأ العمل عند تكوين الشبكة الفرعية لاحقًا. تسمح هذه المرونة للمسؤولين الذين ليس لديهم حق الوصول إلى كلٍّ من حساب Cosmos وموارد الشبكة الظاهرية لجعل تكويناتهم مستقلة عن بعضها البعض.

إنشاء حساب Cosmos جديد وتوصيله بشبكة فرعية في الواجهة الخلفية لشبكة ظاهرية جديدة

في هذا المثال، تُنشأ الشبكة الظاهرية والشبكة الفرعية مع تمكين نقاط تقديم الخدمة لكلتيهما عند إنشائهما.

# Create an Azure Cosmos Account with a service endpoint connected to a backend subnet

# Resource group and Cosmos account variables
resourceGroupName='MyResourceGroup'
location='West US 2'
accountName='mycosmosaccount'

# Variables for a new Virtual Network with two subnets
vnetName='myVnet'
frontEnd='FrontEnd'
backEnd='BackEnd'

# Create a resource group
az group create -n $resourceGroupName -l $location

# Create a virtual network with a front-end subnet
az network vnet create \
   -n $vnetName \
   -g $resourceGroupName \
   --address-prefix 10.0.0.0/16 \
   --subnet-name $frontEnd \
   --subnet-prefix 10.0.1.0/24

# Create a back-end subnet with service endpoints enabled for Cosmos DB
az network vnet subnet create \
   -n $backEnd \
   -g $resourceGroupName \
   --address-prefix 10.0.2.0/24 \
   --vnet-name $vnetName \
   --service-endpoints Microsoft.AzureCosmosDB

svcEndpoint=$(az network vnet subnet show -g $resourceGroupName -n $backEnd --vnet-name $vnetName --query 'id' -o tsv)

# Create a Cosmos DB account with default values and service endpoints
az cosmosdb create \
   -n $accountName \
   -g $resourceGroupName \
   --enable-virtual-network true \
   --virtual-network-rules $svcEndpoint

اتصال حساب Cosmos بشبكة فرعية في الواجهة الخلفية وتكوينها بشكل مستقل

يهدف هذا النموذج إلى إظهار كيفية اتصال حساب Azure Cosmos بشبكة ظاهرية جديدة موجودة لم تُكوَن فيها الشبكة الفرعية لنقاط تقديم الخدمة حتى الآن. ويُنفَذ ذلك باستخدام المعلمة --ignore-missing-vnet-service-endpoint. يسمح ذلك بإكمال تكوين حساب Cosmos دون أخطاء قبل اكتمال تكوين الشبكة الفرعية للشبكة الظاهرية. بمجرد اكتمال تكوين الشبكة الفرعية، سيتم بعد ذلك الوصول إلى حساب Cosmos من خلال الشبكة الفرعية المكونة.

# Create an Azure Cosmos Account with a service endpoint connected to a backend subnet
# that is not yet enabled for service endpoints.

# Resource group and Cosmos account variables
resourceGroupName='MyResourceGroup'
location='West US 2'
accountName='mycosmosaccount'

# Variables for a new Virtual Network with two subnets
vnetName='myVnet'
frontEnd='FrontEnd'
backEnd='BackEnd'

# Create a resource group
az group create -n $resourceGroupName -l $location

# Create a virtual network with a front-end subnet
az network vnet create \
   -n $vnetName \
   -g $resourceGroupName \
   --address-prefix 10.0.0.0/16 \
   --subnet-name $frontEnd \
   --subnet-prefix 10.0.1.0/24

# Create a back-end subnet but without configuring service endpoints (--service-endpoints Microsoft.AzureCosmosDB)
az network vnet subnet create \
   -n $backEnd \
   -g $resourceGroupName \
   --address-prefix 10.0.2.0/24 \
   --vnet-name $vnetName

svcEndpoint=$(az network vnet subnet show -g $resourceGroupName -n $backEnd --vnet-name $vnetName --query 'id' -o tsv)

# Create a Cosmos DB account with default values
az cosmosdb create -n $accountName -g $resourceGroupName

# Add the virtual network rule but ignore the missing service endpoint on the subnet
az cosmosdb network-rule add \
   -n $accountName \
   -g $resourceGroupName \
   --virtual-network $vnetName \
   --subnet svcEndpoint \
   --ignore-missing-vnet-service-endpoint true

read -p'Press any key to now configure the subnet for service endpoints'

az network vnet subnet update \
   -n $backEnd \
   -g $resourceGroupName \
   --vnet-name $vnetName \
   --service-endpoints Microsoft.AzureCosmosDB

نطاق المنفذ عند استخدام الوضع المباشر

عند استخدام نقاط تقديم الخدمة باستخدام حساب Azure Cosmos من خلال اتصال وضع مباشر، يجب التأكد من فتح نطاق منفذ TCP من 10000 إلى 20000.

الترحيل من قاعدة جدار حماية الـ IP إلى قائمة ACL لشبكة ظاهرية

لترحيل حساب Azure Cosmos DB من استخدام قواعد جدار حماية الـ IP إلى استخدام نقاط تقديم خدمة الشبكة الظاهرية، اتبع الخطوات التالية.

بعد تكوين حساب Azure Cosmos DB لنقطة تقديم خدمة لشبكة فرعية، تُرسَل الطلبات من تلك الشبكة الفرعية إلى Azure Cosmos DB مع معلومات عن مصدر الشبكة الظاهرية والشبكة الفرعية بدلًا من عنوان IP عام للمصدر. لم تعد هذه الطلبات تطابق عامل تصفية IP المُكوَن في حساب DB Cosmos Azure، وهذا هو السبب في ضرورة الخطوات التالية لتجنب وقوع أعطال.

قبل المتابعة، مكِّن نقطة تقديم خدمة Azure Cosmos DB على الشبكة الظاهرية والشبكة الفرعية باستخدام الخطوة الموضحة أعلاه في "تمكين نقطة تقديم الخدمة لشبكة فرعية موجودة لشبكة ظاهرية".

1. احصل على معلومات عن الشبكة الظاهرية والشبكة الفرعية:

   $resourceGroupName = "myResourceGroup"
   $accountName = "mycosmosaccount"
   $vnetName = "myVnet"
   $subnetName = "mySubnet"
   
   $vnet = Get-AzVirtualNetwork `
      -ResourceGroupName $resourceGroupName `
      -Name $vnetName
   
   $subnetId = $vnet.Id + "/subnets/" + $subnetName
   

2. جهِّز عنصر قاعدة دور شبكة ظاهرية جديدًا لحساب DB Cosmos Azure:

   $vnetRule = New-AzCosmosDBVirtualNetworkRule `
      -Id $subnetId
   

3. حدِّث حساب Azure Cosmos DB لتمكين الوصول إلى نقطة تقديم الخدمة من الشبكة الفرعية:

   Update-AzCosmosDBAccount `
      -ResourceGroupName $resourceGroupName `
      -Name $accountName `
      -EnableVirtualNetwork $true `
      -VirtualNetworkRuleObject @($vnetRule)
   

4. كرِّر الخطوات السابقة مع جميع حسابات Azure Cosmos DB التي تم الوصول إليها من الشبكة الفرعية.

5. أزل قاعدة جدار حماية الـ IP للشبكة الفرعية من قواعد جدار حماية حساب Azure Cosmos DB.

الأسئلة المتداولة

فيما يلي بعض الأسئلة المتداولة عن تكوين الوصول من الشبكات الظاهرية:

هل دفاتر الملاحظات وMongo/Cassandra Shell تتوافق حاليًا مع الحسابات الممكّنة للشبكة الظاهرية؟

في الوقت الحالي، إن تكاملات Mongo shell وCassandra shell في مستكشف بيانات Cosmos DB وخدمة دفاتر ملاحظات Jupyter غير مدعومة في الوصول إلى الشبكات الظاهرية. ويجري حاليًا تطويرًا نشطًا.

هل يمكنني تحديد كلٍّ من نقطة تقديم خدمة الشبكة الظاهرية ونهج التحكم في الوصول إلى IP في حساب Azure Cosmos؟

يمكنك تمكين كلٍّ من نقطة تقديم خدمة الشبكة الظاهرية ونهج التحكم في الوصول إلى IP (المعروف أيضًا باسم جدار الحماية) في حساب Azure Cosmos. هاتان الميزتان متممتان وتضمنان معًا عزل حسابك على Azure Cosmos وأمانه. يضمن استخدام جدار حماية IP إمكانية وصول عناوين IP الثابتة إلى حسابك.

كيف يمكنني تقييد الوصول إلى شبكة فرعية داخل شبكة ظاهرية؟

ثمة خطوتان مطلوبتان للحد من الوصول إلى حساب Azure Cosmos من شبكة فرعية. يمكنك أولًا السماح بالانتقال من الشبكة الفرعية لنقل هوية الشبكة الفرعية والشبكة الظاهرية إلى Azure Cosmos DB. ويحدث ذلك عن طريق تمكين نقطة تقديم الخدمة لحساب Azure Cosmos DB على الشبكة الفرعية. الخطوة التالية هي إضافة قاعدة في حساب Azure Cosmos تحدد هذه الشبكة الفرعية كمصدر يمكن من خلاله الوصول إلى الحساب.

هل سترفض ACL للشبكة الظاهرية وجدار حماية IP الطلبات أو الاتصالات؟

عند إضافة جدار حماية IP أو قواعد الوصول إلى الشبكة الظاهرية، نحصل الطلبات من المصادر المسموح بها على استجابات صحيحة فقط. تُرفَض الطلبات الأخرى مع استجابة 403 (محظور). إن التمييز بين جدار حماية حساب Azure Cosmos وجدار الحماية على مستوى الاتصال أمر مهم. لا يزال بإمكان المصدر الاتصال بالخدمة ولا تُرفَض الاتصالات نفسها.

بدأ حظر طلباتي عند تمكين نقطة تقديم الخدمة إلى Azure Cosmos DB على الشبكة الفرعية. ماذا حدث؟

بمجرد تمكين نقطة تقديم خدمة Azure Cosmos DB على شبكة فرعية، يتحول مصدر نقل البيانات التي تصل إلى الحساب من IP عام إلى الشبكة الظاهرية والشبكة الفرعية. إذا كان حسابك على Azure Cosmos يحتوي على جدار حماية يستند إلى IP فقط، فلن تتطابق عملية نقل البيانات من الشبكة الفرعية المُمكِنة للخدمة مع قواعد جدار حماية IP وبالتالي سيتم رفضها. تنقل عبر الخطوات للانتقال من جدار الحماية المستند إلى IP إلى التحكم في الوصول المعتمد على شبكة ظاهرية بسهولة.

هل يلزم توفير أذونات إضافية للتحكم في الوصول استنادًا إلى الدور من Azure لحسابات Azure Cosmos مع نقاط تقديم خدمة الشبكة الظاهرية؟

بعد إضافة نقاط تقديم خدمة الشبكات الظاهرية إلى حساب Azure Cosmos، لتتمكن من إجراء أي تغييرات على إعدادات الحساب، يلزم الوصول إلى الإجراء Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action لجميع الشبكات الظاهرية المُكوَنة على حساب Azure Cosmos. هذا الإذن مطلوب لأن عملية التخويل تتحقق من صحة الوصول إلى الموارد (مثل قاعدة البيانات وموارد الشبكة الظاهرية) قبل تقييم أي خصائص.

يتحقق التخويل من صحة إذن إجراء موارد الشبكات الظاهرية حتى إذا لم يحدد المستخدم قائمة ACL للشبكة الظاهرية باستخدام Azure CLI. تدعم وحدة التحكم في حساب Azure Cosmos تعيين الحالة الكاملة لحساب Azure Cosmos في الوقت الحالي. إحدى المعلمات الخاصة باستدعاءات وحدة التحكم هي virtualNetworkRules. في حالة عدم تحديد هذه المعلمة، يُجري Azure CLI استدعاء الحصول على قاعدة البيانات لاسترداد virtualNetworkRules ويستخدم هذه القيمة في استدعاء التحديث.

هل حصلت الشبكات الظاهرية النظيرة أيضًا على حق الوصول إلى حساب Azure Cosmos؟

لم يحصل على حق الوصول سوى الشبكات الظاهرية والشبكات الفرعية المضافة إلى حساب Azure Cosmos فقط. لا تتمكن الشبكات الظاهرية النظيرة من الوصول إلى الحساب إلى أن تُضاف الشبكات الفرعية داخل الشبكات الظاهرية النظيرة إلى الحساب.

ما الحد الأقصى لعدد الشبكات الفرعية المسموح لها بالوصول إلى حساب Cosmos واحد؟

يمكنك الحصول على 256 شبكة فرعية مسموح لها بالوصول إلى حساب Azure Cosmos كحد أقصى حاليًا.

هل يمكنني تمكين الوصول من شبكة ظاهرية خاصة ومسار Express؟

للوصول إلى حساب Azure Cosmos عبر مسار Express من الأماكن المحلية، ستحتاج إلى تمكين تناظر Microsoft. بمجرد وضع جدار حماية IP أو قواعد الوصول إلى الشبكة الظاهرية، يمكنك إضافة عناوين IP العامة المستخدمة لتناظر Microsoft على جدار حماية IP لحسابك على Azure Cosmos للسماح للخدمات المحلية بالوصول إلى حساب Azure Cosmos.

هل أحتاج إلى تحديث قواعد مجموعات أمان الشبكة (NSG)؟

تُستخدَم قواعد NSG لتقييد إمكانية الاتصال الصادر والوارد من شبكة فرعية مع شبكة ظاهرية. عند إضافة نقطة تقديم الخدمة لـ Azure Cosmos DB إلى الشبكة الفرعية، لا ينبغي فتح اتصال صادر في NSG لحسابك على Azure Cosmos.

هل تتوفر نقاط تقديم الخدمة لجميع الشبكات الظاهرية؟

لا، تحتوي الشبكات الظاهرية لـ Azure Resource Manager على نقطة تقديم خدمة مُمكَنة فقط. لا تدعم الشبكات الظاهرية التقليدية نقاط تقديم الخدمة.

متى يجب علي "قبول الاتصالات من داخل مراكز بيانات Azure العامة" لحساب Azure Cosmos DB؟

يجب تمكين هذا الإعداد فقط عندما تريد أن يكون حساب Azure Cosmos DB الخاص بك قابلاً للوصول إلى أي خدمة Azure في أي منطقة Azure. توفر خدمات الطرف الأول الأخرى في Azure مثل Azure Data Factory وAzure Cognitive Search مستندات حول كيفية تأمين الوصول إلى مصادر البيانات بما في ذلك حسابات Azure Cosmos DB، على سبيل المثال:

• شبكة ظاهرية مُدارة من مصنع Azure Data
• وصول Azure Cognitive Search Indexer إلى الموارد المحمية

الخطوات التالية

• لتكوين جدار حماية لـ Azure Cosmos DB، راجع مقالة دعم جدار الحماية.