你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用 Azure 专用终结点连接到 Azure Cosmos 帐户

  • 项目

Azure 专用终结点是 Azure 中专用链接的构建基块。 它使 Azure 资源(例如虚拟机 (VM))能够以私密且安全的方式来与 Azure Cosmos DB 等专用链接资源通信。

在本教程中,你将了解如何执行以下操作:

  • 创建虚拟网络和 Bastion 主机。
  • 创建虚拟机。
  • 创建采用专用终结点的 Cosmos DB 帐户。
  • 测试与 Cosmos DB 帐户专用终结点的连接。

如果没有 Azure 订阅,请在开始之前创建一个免费帐户

先决条件

  • Azure 订阅

登录 Azure

登录 Azure 门户

创建虚拟网络和堡垒主机

在本部分中,你将创建虚拟网络、子网和堡垒主机。

堡垒主机将用于安全地连接到虚拟机,以测试专用终结点。

  1. 在屏幕的左上方选择“创建资源”>“网络”>“虚拟网络”,或者在搜索框中搜索“虚拟网络”。

  2. 在“创建虚拟网络” 的“基本信息”选项卡中输入或选择以下信息 :

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“新建”。
    在“名称”中输入“myResourceGroup”。
    选择“确定”。
    实例详细信息
    名称 输入 myVNet
    区域 选择“美国东部”。

  3. 选择“IP 地址”选项卡 ,或选择页面底部的“下一步: IP 地址”按钮。

  4. 在“IP 地址” 选项卡上,输入以下信息:

    设置
    IPv4 地址空间 输入 10.1.0.0/16。

  5. 在“子网名称”下,选择词语“默认”。

  6. 在“编辑子网”中输入以下信息:

    设置
    子网名称 输入 mySubnet
    子网地址范围 输入 10.1.0.0/24。

  7. 选择“保存” 。

  8. 选择“安全”选项卡。

  9. 在“BastionHost”下,选择“启用” 。 输入此信息:

    设置
    Bastion 名称 输入“myBastionHost”。
    AzureBastionSubnet 地址空间 输入 10.1.1.0/24。
    公共 IP 地址 选择“新建”。
    对于“名称”,请输入“myBastionIP”。
    选择“确定”。

  10. 选择“查看 + 创建”选项卡,或选择“查看 + 创建”按钮。

  11. 选择“创建”。

创建虚拟机

在本部分中,你将创建将用来测试专用终结点的虚拟机。

  1. 在门户的左上方,选择“创建资源”>“计算”>“虚拟机”,或者在搜索框中搜索“虚拟机”。

  2. 在“创建虚拟机”中,在“基本信息”选项卡中键入或选择值:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“myResourceGroup”。
    实例详细信息
    虚拟机名称 输入“myVM”。
    区域 选择“美国东部”。
    可用性选项 选择“无需基础结构冗余”。
    安全类型 选择“标准”。
    映像 选择“Windows Server 2019 Datacenter - Gen2”。
    Azure Spot 实例 请选择“否”。
    大小 选择 VM 大小或采用默认设置。
    管理员帐户
    用户名 输入用户名。
    Password 输入密码。
    确认密码 重新输入密码。

  3. 选择“网络”选项卡,或选择“下一步: 磁盘”,然后选择“下一步: 网络”。

  4. 在“网络”选项卡中,选择或输入:

    设置
    网络接口
    虚拟网络 myVNet
    子网 mySubnet
    公共 IP 选择“无”。
    NIC 网络安全组 基本
    公共入站端口 选择“无”。

  5. 选择“查看 + 创建”。

  6. 检查设置,然后选择“创建”。

注意

Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

有关详细信息,请参阅 Azure 中的默认出站访问

在将公共 IP 地址分配到 VM 或者将 VM 置于具有或不具有出站规则的标准负载均衡器的后端池中时,会禁用默认出站访问 IP。 如果向虚拟机的子网分配 Azure 虚拟网络网络地址转换 (NAT) 网关资源,则会禁用默认出站访问 IP。

在灵活业务流程模式下由虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中出站连接的详细信息,请参阅使用出站连接的源网络地址转换 (SNAT)

创建采用专用终结点的 Cosmos DB 帐户

在本部分中,创建 Cosmos DB 帐户并配置专用终结点。

  1. 在左侧菜单中,选择“创建资源”>“数据库”>“Azure Cosmos DB”,或者在搜索框中搜索“Azure Cosmos DB”。

  2. 在“选择 API 选项”页中,选择“Core (SQL)”下的“创建”。

  3. 在“创建 Cosmos DB 帐户”的“基本信息”选项卡中,输入或选择以下信息 :

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“myResourceGroup”。
    实例详细信息
    帐户名称 输入 mycosmosdb。 如果该名称不可用,请输入一个唯一的名称。
    位置 选择“(US)美国东部”。
    容量模式 保留默认值“预配吞吐量”。
    应用免费层折扣 保留默认值“不应用”。

  4. 选择“网络”选项卡,或选择“下一步: 全局分发”,然后选择“下一步: 网络”。

  5. 在“网络”中,输入或选择以下信息:

    设置
    网络连接
    连接方法 选择“专用终结点”。
    配置防火墙
    允许来自 Azure 门户的访问 保留默认值“允许”。
    允许来自我的 IP 的访问 保留默认值“拒绝”。

  6. 在“专用终结点”中,选择“+ 添加”。

  7. 在“创建专用终结点”中,输入或选择以下信息:

    设置 Value
    订阅 选择 Azure 订阅。
    资源组 选择“myResourceGroup”。
    位置 选择“美国东部”。
    名称 输入“myPrivateEndpoint”
    CosmosDB 子资源 保留默认的“Core (SQL) - 建议”。
    联网
    虚拟网络 选择“myVNet”。
    子网 选择“mySubnet”
    专用 DNS 集成
    与专用 DNS 区域集成 保留默认值“是”。
    专用 DNS 区域 保留默认的“(新建) privatelink.documents.azure.com”。

  8. 选择“确定”。

  9. 选择“查看 + 创建”。

  10. 选择“创建” 。

添加数据库和容器

  1. 选择“转到资源”,或在 Azure 门户的左侧菜单中,选择“所有资源”>“mycosmosdb”。

  2. 在左侧菜单中,选择“数据资源浏览器”。

  3. 在“数据资源管理器”窗口中,选择“新容器” 。

  4. 在“新建容器”中,输入或选择以下信息:

    设置 “值”
    数据库 ID 保留默认值“新建”。
    在框中输入“mydatabaseid”。
    数据库吞吐量(400 - 无限制 RU/s) 选择“手动”
    在框中输入“400”。
    容器 ID 输入“mycontainerid”。
    分区键 输入“/mykey”。

  5. 选择“确定”。

  6. 在 Cosmos DB 帐户的“设置”部分,选择“密钥”。

  7. 选择“主连接字符串”上的复制。 有效的连接字符串采用以下格式:AccountEndpoint=https://<cosmosdb-account-name>.documents.azure.com:443/;AccountKey=<accountKey>;

测试到专用终结点的连接

在本部分中,你将在“Azure Cosmos DB 资源管理器”中使用在上一步骤中创建的虚拟机通过专用终结点连接到 Cosmos DB 帐户。

  1. 在左侧导航窗格中选择“资源组”。

  2. 选择“myResourceGroup”。

  3. 选择“myVM”。

  4. myVM的“概述”页上,选择“连接”,然后选择“堡垒”。

  5. 输入在创建虚拟机期间输入的用户名和密码。

  6. 选择“连接”按钮。

  7. 连接后,在服务器上打开 Windows PowerShell。

  8. 输入 nslookup <cosmosdb-account-name>.documents.azure.com 并验证名称解析。 将 <cosmosdb-account-name> 替换为你在前面步骤中创建的 Cosmos DB 帐户的名称。 你将收到类似于以下所示内容的消息:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    mycosmosdb.privatelink.documents.azure.com
Address:  10.1.0.5
Aliases:  mycosmosdb.documents.azure.com

    将为 Cosmos DB 帐户名称返回专用 IP 地址 10.1.0.5。 此地址在前面创建的 myVNet 虚拟网络的 mySubnet 子网中。

  9. 转到 https://cosmos.azure.com/ 。 选择“使用连接字符串连接到帐户”,然后粘贴在前面步骤中复制的连接字符串并选择“连接”。

  10. 在 SQL API 的左侧菜单下,你会看到前面在“mycosmosdb”中创建的“mydatabaseid”和“mycontainerid”。

  11. 关闭到 myVM 的连接。

清理资源

如果你不打算继续使用此应用程序,请按以下步骤删除虚拟网络、虚拟机和 Cosmos DB 帐户:

  1. 从左侧菜单中,选择“资源组”。

  2. 选择“myResourceGroup”。

  3. 选择“删除资源组”

  4. 在“键入资源组名称”中输入“myResourceGroup”。

  5. 选择“删除” 。

后续步骤

在本教程中,你已了解如何创建:

  • 虚拟网络和堡垒主机。
  • 虚拟机。
  • Cosmos DB 帐户。

了解如何使用 Azure 专用终结点连接到 Web 应用:

使用专用终结点连接到 Web 应用