Azure Cosmos DB 'de IP güvenlik duvarını yapılandırmaConfigure IP firewall in Azure Cosmos DB

Uygulama hedefı: MongoDB için SQL API Cassandra API gremlin API tablo API'si Azure Cosmos DB API 'si

Hesabınızda depolanan verilerin güvenliğini sağlamak için Azure Cosmos DB güçlü bir karma tabanlı İleti Kimlik Doğrulama Kodu (HMAC) kullanan gizli tabanlı bir yetkilendirme modelini destekler.To secure the data stored in your account, Azure Cosmos DB supports a secret based authorization model that utilizes a strong Hash-based Message Authentication Code (HMAC). Ayrıca, Azure Cosmos DB gelen güvenlik duvarı desteği için IP tabanlı erişim denetimlerini destekler.Additionally, Azure Cosmos DB supports IP-based access controls for inbound firewall support. Bu model geleneksel bir veritabanı sisteminin güvenlik duvarı kurallarına benzer ve hesabınıza ek bir güvenlik düzeyi sağlar.This model is similar to the firewall rules of a traditional database system and provides an additional level of security to your account. Güvenlik duvarları sayesinde Azure Cosmos hesabınızı yalnızca onaylanan bir makine ve/veya bulut hizmeti kümesinden erişilebilen şekilde yapılandırabilirsiniz.With firewalls, you can configure your Azure Cosmos account to be accessible only from an approved set of machines and/or cloud services. Azure Cosmos veritabanınızda bu onaylanan makine ve hizmet kümelerinden depolanan verilere erişim, çağıranın geçerli bir yetkilendirme belirteci sunmasını gerektirir.Access to data stored in your Azure Cosmos database from these approved sets of machines and services will still require the caller to present a valid authorization token.

IP erişim denetimiIP access control

Varsayılan olarak, Azure Cosmos hesabınıza, istek geçerli bir yetkilendirme belirteci eşlik ettiği sürece internet 'ten erişilebilir.By default, your Azure Cosmos account is accessible from internet, as long as the request is accompanied by a valid authorization token. IP İlkesi tabanlı erişim denetimini yapılandırmak için, kullanıcının belirli bir Azure Cosmos hesabına erişmesi için izin verilen istemci IP 'Leri listesine dahil edilecek IP adresleri veya IP adresi aralıklarını CıDR (sınıfsız Inter-Domain yönlendirme) biçiminde sağlaması gerekir.To configure IP policy-based access control, the user must provide the set of IP addresses or IP address ranges in CIDR (Classless Inter-Domain Routing) form to be included as the allowed list of client IPs to access a given Azure Cosmos account. Bu yapılandırma uygulandıktan sonra, izin verilen bu listenin dışındaki makinelerden gelen istekler 403 (yasak) yanıtını alır.Once this configuration is applied, any requests originating from machines outside this allowed list receive 403 (Forbidden) response. IP güvenlik duvarını kullanırken Azure portal hesabınıza erişmesine izin vermeniz önerilir.When using IP firewall, it is recommended to allow Azure portal to access your account. Veri Gezgini 'nin kullanımına izin vermek için erişim ve Azure portal görüntülenen hesabınıza yönelik ölçümleri almak için erişim gerekir.Access is required to allow use of data explorer as well as to retrieve metrics for your account that show up on the Azure portal. Veri Gezgini 'ni kullanırken Azure portal hesabınıza erişmesine izin vermenin yanı sıra, güvenlik duvarı ayarlarınızı da geçerli IP adresinizi güvenlik duvarı kurallarına eklemek için güncelleştirmeniz gerekir.When using data explorer, in addition to allowing Azure portal to access your account, you also need to update your firewall settings to add your current IP address to the firewall rules. Güvenlik Duvarı değişikliklerinin yayılması 15 dakika kadar sürebilir ve güvenlik duvarının bu süre boyunca tutarsız bir davranış sergilediğini unutmayın.Note that firewall changes may take up to 15 minutes to propagate and the firewall may exhibit an inconsistent behavior during this period.

IP tabanlı güvenlik duvarını alt ağ ve VNET erişim denetimiyle birleştirebilirsiniz.You can combine IP-based firewall with subnet and VNET access control. Bunları birleştirerek, erişimi genel IP ve/veya VNET içindeki belirli bir alt ağdan sınırlayabilirsiniz.By combining them, you can limit access to any source that has a public IP and/or from a specific subnet within VNET. Alt ağ ve VNET tabanlı erişim denetimi kullanma hakkında daha fazla bilgi için bkz. sanal ağlardan erişim Azure Cosmos DB kaynakları.To learn more about using subnet and VNET-based access control see Access Azure Cosmos DB resources from virtual networks.

Özetlemek gerekirse, Azure Cosmos hesabına erişmek için yetkilendirme belirtecinin her zaman gereklidir.To summarize, authorization token is always required to access an Azure Cosmos account. IP güvenlik duvarı ve VNET Access Control listesi (ACL 'Ler) ayarlanmamışsa Azure Cosmos hesabına yetkilendirme belirteciyle erişilebilir.If IP firewall and VNET Access Control List (ACLs) are not set up, the Azure Cosmos account can be accessed with the authorization token. IP güvenlik duvarı veya VNET ACL 'Leri veya her ikisi de Azure Cosmos hesabında kurulduktan sonra, yalnızca belirttiğiniz kaynaklardan (ve yetkilendirme belirteciyle) gelen istekler geçerli yanıtlar alır.After the IP firewall or VNET ACLs or both are set up on the Azure Cosmos account, only requests originating from the sources you have specified (and with the authorization token) get valid responses.

IP güvenlik duvarlarını kullanarak Azure Cosmos DB hesabınızda depolanan verilerin güvenliğini sağlayabilirsiniz.You can secure the data stored in your Azure Cosmos DB account by using IP firewalls. Azure Cosmos DB, gelen güvenlik duvarı desteği için IP tabanlı erişim denetimlerini destekler.Azure Cosmos DB supports IP-based access controls for inbound firewall support. Aşağıdaki yollarla Azure Cosmos DB hesapta bir IP güvenlik duvarı belirleyebilirsiniz:You can set an IP firewall on the Azure Cosmos DB account by using one of the following ways:

  • Azure portalındanFrom the Azure portal
  • Azure Resource Manager şablonu kullanarak bildirimli olarakDeclaratively by using an Azure Resource Manager template
  • İpRangeFilter özelliğini GÜNCELLEŞTIREREK Azure clı veya Azure PowerShell aracılığıyla programlama yoluylaProgrammatically through the Azure CLI or Azure PowerShell by updating the ipRangeFilter property

Azure portal kullanarak bir IP güvenlik duvarı yapılandırmaConfigure an IP firewall by using the Azure portal

Azure portal IP erişim denetimi ilkesini ayarlamak için, Azure Cosmos DB hesabı sayfasına gidin ve gezinti menüsünde güvenlik duvarı ve sanal ağlar ' ı seçin.To set the IP access control policy in the Azure portal, go to the Azure Cosmos DB account page and select Firewall and virtual networks on the navigation menu. Değerden erişime Izin ver ' i Seçili ağlara değiştirin ve ardından Kaydet' i seçin.Change the Allow access from value to Selected networks, and then select Save.

Azure portal güvenlik duvarı sayfasının nasıl açılacağını gösteren ekran görüntüsü

IP erişim denetimi açıldığında, Azure portal IP adresleri, IP adresi aralıkları ve anahtarlar belirtme olanağı sağlar.When IP access control is turned on, the Azure portal provides the ability to specify IP addresses, IP address ranges, and switches. Anahtarlar, diğer Azure hizmetlerine ve Azure portal erişimi etkinleştirir.Switches enable access to other Azure services and the Azure portal. Aşağıdaki bölümlerde bu anahtarlarla ilgili ayrıntılar verilmektedir.The following sections give details about these switches.

Not

Azure Cosmos DB hesabınız için bir IP erişim denetimi ilkesini etkinleştirdikten sonra, izin verilen IP adresi aralıkları dışındaki makinelerden gelen Azure Cosmos DB hesabınıza yapılan tüm istekler reddedilir.After you enable an IP access control policy for your Azure Cosmos DB account, all requests to your Azure Cosmos DB account from machines outside the allowed list of IP address ranges are rejected. Access Control 'un bütünlüğünü sağlamak için portaldan Azure Cosmos DB kaynaklarına göz atma de engellenir.Browsing the Azure Cosmos DB resources from the portal is also blocked to ensure the integrity of access control.

Azure portal isteklere izin verAllow requests from the Azure portal

Bir IP erişim denetimi ilkesini programlı bir şekilde etkinleştirdiğinizde, erişimi sürdürmek için Azure portal IP adresini ipRangeFilter özelliğine eklemeniz gerekir.When you enable an IP access control policy programmatically, you need to add the IP address for the Azure portal to the ipRangeFilter property to maintain access. Portal IP adresleri şunlardır:The portal IP addresses are:

RegionRegion IP AdresiIP address
AlmanyaGermany 51.4.229.21851.4.229.218
ÇinChina 139.217.8.252139.217.8.252
US GovUS Gov 52.244.48.7152.244.48.71
Diğer tüm bölgelerAll other regions 104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26104.42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26

Aşağıdaki ekran görüntüsünde gösterildiği gibi, Azure Portal erişime Izin ver seçeneğini belirleyerek Azure Portal erişim isteklerini etkinleştirebilirsiniz:You can enable requests to access the Azure portal by selecting the Allow access from Azure portal option, as shown in the following screenshot:

Azure portal erişimin nasıl etkinleştirileceğini gösteren ekran görüntüsü

Azure içinde küresel Azure veri merkezlerinden veya başka kaynaklardan gelen isteklere izin vermeAllow requests from global Azure datacenters or other sources within Azure

Azure Cosmos DB hesabınıza statik IP (örneğin, Azure Stream Analytics ve Azure Işlevleri) sağlamayan hizmetlerden eriştiğinizde, erişimi kısıtlamak için IP güvenlik duvarını kullanmaya devam edebilirsiniz.If you access your Azure Cosmos DB account from services that don’t provide a static IP (for example, Azure Stream Analytics and Azure Functions), you can still use the IP firewall to limit access. Aşağıdaki ekran görüntüsünde gösterildiği gibi Azure veri merkezleri içinden bağlantıları kabul et seçeneğini belirleyerek Azure 'daki diğer kaynaklardan erişimi etkinleştirebilirsiniz:You can enable access from other sources within the Azure by selecting the Accept connections from within Azure datacenters option, as shown in the following screenshot:

Azure veri merkezlerinden bağlantıların nasıl kabul edileceği gösteren ekran görüntüsü

Bu seçeneği etkinleştirdiğinizde, IP adresi 0.0.0.0 izin VERILEN IP adresleri listesine eklenir.When you enable this option, the IP address 0.0.0.0 is added to the list of allowed IP addresses. 0.0.0.0IP adresi, Istekleri Azure veri MERKEZI IP aralığından Azure Cosmos DB hesabınıza kısıtlar.The 0.0.0.0 IP address restricts requests to your Azure Cosmos DB account from Azure datacenter IP range. Bu ayar Azure Cosmos DB hesabınıza başka hiçbir IP aralığından erişime izin vermez.This setting does not allow access for any other IP ranges to your Azure Cosmos DB account.

Not

Bu seçenek, Azure 'da dağıtılan diğer müşterilerin aboneliklerinden gelen istekler dahil olmak üzere güvenlik duvarını Azure 'daki tüm isteklere izin verecek şekilde yapılandırır.This option configures the firewall to allow all requests from Azure, including requests from the subscriptions of other customers deployed in Azure. Bu seçenek tarafından izin verilen IP 'lerin listesi geniştir, bu nedenle bir güvenlik duvarı ilkesinin verimliliğini kısıtlar.The list of IPs allowed by this option is wide, so it limits the effectiveness of a firewall policy. Bu seçeneği yalnızca istekleriniz sanal ağlardaki statik IP 'lerden veya alt ağlardan kaynaklanmıyorsanız kullanın.Use this option only if your requests don’t originate from static IPs or subnets in virtual networks. Azure portal Azure 'da dağıtıldığından, bu seçeneğin belirlenmesi otomatik olarak Azure portal erişimine izin verir.Choosing this option automatically allows access from the Azure portal because the Azure portal is deployed in Azure.

Geçerli IP 'nizden gelen isteklerRequests from your current IP

Azure portal geliştirmeyi basitleştirmek için, istemci makinenizin IP 'sini belirlemenize ve izin verilenler listesine eklemenize yardımcı olur.To simplify development, the Azure portal helps you identify and add the IP of your client machine to the allowed list. Makinenizi çalıştıran uygulamalar daha sonra Azure Cosmos DB hesabınıza erişebilir.Apps running your machine can then access your Azure Cosmos DB account.

Portal, istemci IP adresini otomatik olarak algılar.The portal automatically detects the client IP address. Makinenizin istemci IP adresi veya ağ geçidinizin IP adresi olabilir.It might be the client IP address of your machine, or the IP address of your network gateway. İş yüklerinizi üretime almadan önce bu IP adresini kaldırdığınızdan emin olun.Make sure to remove this IP address before you take your workloads to production.

Geçerli IP 'nizi IP listesine eklemek için GEÇERLI IP 'Yi Ekle' yi seçin.To add your current IP to the list of IPs, select Add my current IP. Sonra Kaydet'i seçin.Then select Save.

Geçerli IP için güvenlik duvarı ayarlarının nasıl yapılandırılacağını gösteren ekran görüntüsü

Bulut hizmetlerinden gelen isteklerRequests from cloud services

Azure 'da bulut Hizmetleri, Azure Cosmos DB kullanarak orta katman hizmet mantığını barındırmak için ortak bir yoldur.In Azure, cloud services are a common way for hosting middle-tier service logic by using Azure Cosmos DB. Bulut hizmetinden Azure Cosmos DB hesabınıza erişimi etkinleştirmek için, IP erişim denetimi ilkesini yapılandırarak, bulut HIZMETININ genel ıp adresini Azure Cosmos DB hesabınızla ilişkilendirilen ızın verilen IP adresleri listesine eklemeniz gerekir.To enable access to your Azure Cosmos DB account from a cloud service, you must add the public IP address of the cloud service to the allowed list of IP addresses associated with your Azure Cosmos DB account by configuring the IP access control policy. Bu, bulut hizmetlerinin tüm rol örneklerinin Azure Cosmos DB hesabınıza erişmesini sağlar.This ensures that all role instances of cloud services have access to your Azure Cosmos DB account.

Aşağıdaki ekran görüntüsünde gösterildiği gibi, Azure portal bulut hizmetlerinizin IP adreslerini alabilirsiniz:You can retrieve IP addresses for your cloud services in the Azure portal, as shown in the following screenshot:

Azure portal gösterilen bir bulut hizmeti için genel IP adresini gösteren ekran görüntüsü

Rol örnekleri ekleyerek bulut hizmetinizi ölçeklendirirseniz, aynı bulut hizmetinin bir parçası olduklarından, bu yeni örnekler otomatik olarak Azure Cosmos DB hesaba erişebilir.When you scale out your cloud service by adding role instances, those new instances will automatically have access to the Azure Cosmos DB account because they're part of the same cloud service.

Sanal makinelerden gelen isteklerRequests from virtual machines

Azure Cosmos DB kullanarak orta katmanlı Hizmetleri barındırmak için sanal makineleri veya sanal makine ölçek kümelerini de kullanabilirsiniz.You can also use virtual machines or virtual machine scale sets to host middle-tier services by using Azure Cosmos DB. Cosmos DB hesabınızı sanal makinelerden erişime izin verecek şekilde yapılandırmak için, IP erişim denetimi ilkesini yapılandırarakAzure Cosmos DB hesabınız için ızın verilen IP adreslerinden biri olarak sanal makinenin ve/veya sanal makine ölçek KÜMESININ genel IP adresini yapılandırmanız gerekir.To configure your Cosmos DB account such that it allows access from virtual machines, you must configure the public IP address of the virtual machine and/or virtual machine scale set as one of the allowed IP addresses for your Azure Cosmos DB account by configuring the IP access control policy.

Aşağıdaki ekran görüntüsünde gösterildiği gibi Azure portal sanal makinelerin IP adreslerini alabilirsiniz:You can retrieve IP addresses for virtual machines in the Azure portal, as shown in the following screenshot:

Azure portal gösterilen bir sanal makinenin genel IP adresini gösteren ekran görüntüsü

Gruba sanal makine örnekleri eklediğinizde Azure Cosmos DB hesabınıza otomatik olarak erişim elde edersiniz.When you add virtual machine instances to the group, they automatically receive access to your Azure Cosmos DB account.

İnternet 'ten gelen isteklerRequests from the internet

Azure Cosmos DB hesabınıza Internet 'teki bir bilgisayardan eriştiğinizde, hesabın istemci IP adresi veya IP adresi aralığı, hesabınız için izin verilen IP adresleri listesine eklenmelidir.When you access your Azure Cosmos DB account from a computer on the internet, the client IP address or IP address range of the machine must be added to the allowed list of IP addresses for your account.

Giden kuralları güvenlik duvarına eklemeAdd outbound rules to the firewall

Güvenlik Duvarı ayarlarınıza eklemek üzere giden IP aralıklarının geçerli listesine erişmek için lütfen bkz. Azure IP aralıklarını ve hizmet etiketlerini indirme.To access a current list of outbound IP ranges to add to your firewall settings, please see Download Azure IP Ranges and Service Tags.

Listeyi otomatikleştirmek için lütfen bkz. hizmet etiketi bulma API 'Sini kullanma (Genel Önizleme).To automate the list, please see Use the Service Tag Discovery API (public preview).

Kaynak Yöneticisi şablonu kullanarak bir IP güvenlik duvarı yapılandırmaConfigure an IP firewall by using a Resource Manager template

Azure Cosmos DB hesabınıza erişim denetimini yapılandırmak için Kaynak Yöneticisi şablonunun, izin verilen IP aralıkları dizisiyle ıprules özelliğini belirttiğinden emin olun.To configure access control to your Azure Cosmos DB account, make sure that the Resource Manager template specifies the ipRules property with an array of allowed IP ranges. IP güvenlik duvarını zaten dağıtılmış bir Cosmos hesabına yapılandırıyorsanız, locations dizinin şu anda dağıtılmış olan ile eşleştiğinden emin olun.If configuring IP Firewall to an already deployed Cosmos account, ensure the locations array matches what is currently deployed. locationsDiziyi ve diğer özellikleri eşzamanlı olarak değiştiremezsiniz.You cannot simultaneously modify the locations array and other properties. Azure Cosmos DB için Azure Resource Manager şablonlarının daha fazla bilgi ve örnekleri için bkz. Azure Resource Manager şablonları Azure Cosmos DBFor more information and samples of Azure Resource Manager templates for Azure Cosmos DB see, Azure Resource Manager templates for Azure Cosmos DB

Önemli

Iprules özelliği apı sürümü 2020-04-01 ile tanıtılmıştır.The ipRules property has been introduced with API version 2020-04-01. Önceki sürümler bunun yerine, virgülle ayrılmış IP adresleri listesi olan bir ipRangeFilter özelliği kullanıma sunuldu.Previous versions exposed an ipRangeFilter property instead, which is a list of comma-separated IP addresses.

Aşağıdaki örnekte, ıprules özelliğinin apı sürüm 2020-04-01 veya sonraki bir sürümünde nasıl açığa çıkarılagösterdiği gösterilmektedir:The example below shows how the ipRules property is exposed in API version 2020-04-01 or later:

{
  "type": "Microsoft.DocumentDB/databaseAccounts",
  "name": "[variables('accountName')]",
  "apiVersion": "2020-04-01",
  "location": "[parameters('location')]",
  "kind": "GlobalDocumentDB",
  "properties": {
    "consistencyPolicy": "[variables('consistencyPolicy')[parameters('defaultConsistencyLevel')]]",
    "locations": "[variables('locations')]",
    "databaseAccountOfferType": "Standard",
    "enableAutomaticFailover": "[parameters('automaticFailover')]",
    "ipRules": [
      {
        "ipAddressOrRange": "40.76.54.131"
      },
      {
        "ipAddressOrRange": "52.176.6.30"
      },
      {
        "ipAddressOrRange": "52.169.50.45"
      },
      {
        "ipAddressOrRange": "52.187.184.26"
      }
    ]
  }
}

2020-04-01 ' dan önceki API sürümleri için aynı örnek aşağıda verilmiştir:Here's the same example for any API version prior to 2020-04-01:

{
  "type": "Microsoft.DocumentDB/databaseAccounts",
  "name": "[variables('accountName')]",
  "apiVersion": "2019-08-01",
  "location": "[parameters('location')]",
  "kind": "GlobalDocumentDB",
  "properties": {
    "consistencyPolicy": "[variables('consistencyPolicy')[parameters('defaultConsistencyLevel')]]",
    "locations": "[variables('locations')]",
    "databaseAccountOfferType": "Standard",
    "enableAutomaticFailover": "[parameters('automaticFailover')]",
    "ipRangeFilter":"40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26"
  }
}

Azure CLı kullanarak bir IP erişim denetim ilkesi yapılandırmaConfigure an IP access control policy by using the Azure CLI

Aşağıdaki komut, IP erişim denetimi ile bir Azure Cosmos DB hesabının nasıl oluşturulacağını gösterir:The following command shows how to create an Azure Cosmos DB account with IP access control:

# Create a Cosmos DB account with default values and IP Firewall enabled
resourceGroupName='MyResourceGroup'
accountName='mycosmosaccount'
ipRangeFilter='192.168.221.17,183.240.196.255,40.76.54.131'

# Make sure there are no spaces in the comma-delimited list of IP addresses or CIDR ranges.
az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --locations regionName='East US 2' failoverPriority=1 isZoneRedundant=False \
    --ip-range-filter $ipRangeFilter

PowerShell kullanarak bir IP erişim denetim ilkesi yapılandırmaConfigure an IP access control policy by using PowerShell

Aşağıdaki betik, IP erişim denetimi ile bir Azure Cosmos DB hesabının nasıl oluşturulacağını gösterir:The following script shows how to create an Azure Cosmos DB account with IP access control:

# Create a Cosmos DB account with default values and IP Firewall enabled
$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$ipRules = @("192.168.221.17","183.240.196.255","40.76.54.131")

$locations = @(
    @{ "locationName"="West US 2"; "failoverPriority"=0; "isZoneRedundant"=False },
    @{ "locationName"="East US 2"; "failoverPriority"=1, "isZoneRedundant"=False }
)

# Make sure there are no spaces in the comma-delimited list of IP addresses or CIDR ranges.
$CosmosDBProperties = @{
    "databaseAccountOfferType"="Standard";
    "locations"=$locations;
    "ipRules"=$ipRules
}

New-AzResource -ResourceType "Microsoft.DocumentDb/databaseAccounts" `
    -ApiVersion "2020-04-01" -ResourceGroupName $resourceGroupName `
    -Name $accountName -PropertyObject $CosmosDBProperties

IP erişim denetimi ilkesiyle ilgili sorunları gidermeTroubleshoot issues with an IP access control policy

Aşağıdaki seçenekleri kullanarak bir IP erişim denetimi ilkesiyle ilgili sorunları çözebilirsiniz:You can troubleshoot issues with an IP access control policy by using the following options:

Azure portalıAzure portal

Azure Cosmos DB hesabınız için bir IP erişim denetimi ilkesi etkinleştirerek, hesabınıza verilen IP adresi aralıkları listesinin dışındaki tüm istekleri engellenir.By enabling an IP access control policy for your Azure Cosmos DB account, you block all requests to your account from machines outside the allowed list of IP address ranges. Kapsayıcılara göz atma ve belge sorgulama gibi portal veri düzlemi işlemlerini etkinleştirmek için, portalda güvenlik duvarı bölmesini kullanarak Azure Portal erişime açıkça izin vermeniz gerekir.To enable portal data-plane operations like browsing containers and querying documents, you need to explicitly allow Azure portal access by using the Firewall pane in the portal.

SDKSDKs

İzin verilenler listesinde olmayan makinelerden SDK 'Ları kullanarak Azure Cosmos DB kaynaklarına eriştiğinizde, ek ayrıntı olmadan genel 403 yasaklanmış bir yanıt döndürülür.When you access Azure Cosmos DB resources by using SDKs from machines that are not in the allowed list, a generic 403 Forbidden response is returned with no additional details. Hesabınız için izin verilen IP listesini doğrulayın ve Azure Cosmos DB hesabınıza doğru ilke yapılandırmasının uygulandığından emin olun.Verify the allowed IP list for your account, and make sure that the correct policy configuration is applied to your Azure Cosmos DB account.

Engellenen isteklerde kaynak IP 'LeriSource IPs in blocked requests

Azure Cosmos DB hesabınızda tanılama günlüğünü etkinleştirin.Enable diagnostic logging on your Azure Cosmos DB account. Bu Günlükler her isteği ve yanıtı gösterir.These logs show each request and response. Güvenlik Duvarı ile ilgili iletiler 403 dönüş koduyla günlüğe kaydedilir.The firewall-related messages are logged with a 403 return code. Bu iletileri filtreleyerek, engellenen isteklerin kaynak IP 'lerini görebilirsiniz.By filtering these messages, you can see the source IPs for the blocked requests. Bkz. Azure Cosmos DB tanılama günlüğü.See Azure Cosmos DB diagnostic logging.

Azure Cosmos DB etkin için bir hizmet uç noktası olan bir alt ağdan gelen isteklerRequests from a subnet with a service endpoint for Azure Cosmos DB enabled

Azure Cosmos DB etkin için bir hizmet uç noktası olan bir sanal ağ alt ağından gelen istekler, sanal ağ ve alt ağ kimliğini Azure Cosmos DB hesaplara gönderir.Requests from a subnet in a virtual network that has a service endpoint for Azure Cosmos DB enabled sends the virtual network and subnet identity to Azure Cosmos DB accounts. Bu istekler, kaynağın genel IP 'si içermez, bu nedenle IP filtreleri bunları reddeder.These requests don't have the public IP of the source, so IP filters reject them. Sanal ağlardaki belirli alt ağlardan erişime izin vermek için, Azure Cosmos DB hesabınız için sanal ağ ve alt ağ tabanlı erişimin nasıl yapılandırılacağı konusundaözetlenen bir erişim denetim listesi ekleyin.To allow access from specific subnets in virtual networks, add an access control list as outlined in How to configure virtual network and subnet-based access for your Azure Cosmos DB account. Güvenlik Duvarı kurallarının uygulanması 15 dakika kadar sürebilir ve bu süre boyunca güvenlik duvarı tutarsız bir davranış gösterebilir.It can take up to 15 minutes for firewall rules to apply and the firewall may exhibit an inconsistent behavior during this period.

İzin verilen adresler listesindeki özel IP adresleriPrivate IP addresses in list of allowed addresses

Bir Azure Cosmos hesabını özel IP adresleri içeren bir izin verilen adresler listesiyle oluşturmak veya güncelleştirmek başarısız olur.Creating or updating an Azure Cosmos account with a list of allowed addresses containing private IP addresses will fail. Listede özel IP adresi belirtilmediğinden emin olun.Make sure that no private IP address is specified in the list.

Sonraki adımlarNext steps

Azure Cosmos DB hesabınız için bir sanal ağ hizmeti uç noktası yapılandırmak için aşağıdaki makalelere bakın:To configure a virtual network service endpoint for your Azure Cosmos DB account, see the following articles: