можно зарегистрировать бесплатно и дистанционно за 3 дня
Выберите ваш город
- Екатеринбург
- Казань
- Краснодар
- Москва
- Нижний Новгород
- Новосибирск
- Омск
- Санкт-Петербург
- Уфа
- Челябинск
- Астрахань
- Балашиха
- Барнаул
- Брянск
- Воронеж
- Ижевск
- Иркутск
- Калининград
- Калуга
- Кемерово
- Киров
- Красноярск
- Курск
- Липецк
- Махачкала
- Набережные Челны
- Новокузнецк
- Оренбург
- Пенза
- Пермь
- Ростов-на-Дону
- Рязань
- Самара
- Саратов
- Сочи
- Ставрополь
- Тверь
- Тольятти
- Томск
- Тула
- Тюмень
- Ульяновск
- Хабаровск
- Ярославль
общедоступных IP-адресов в Azure — виртуальная сеть Azure
Редактировать
Твиттер LinkedIn Фейсбук Электронная почта
- Статья
- 7 минут на чтение
Общедоступные IP-адреса позволяют интернет-ресурсам взаимодействовать с ресурсами Azure. Общедоступные IP-адреса позволяют ресурсам Azure взаимодействовать с Интернетом и общедоступными службами Azure. Адрес закреплен за ресурсом до тех пор, пока он не будет отменен вами. Ресурс без назначенного общедоступного IP-адреса может обмениваться исходящими данными. Azure динамически назначает доступный IP-адрес, не выделенный ресурсу. Дополнительные сведения об исходящих подключениях в Azure см. в статье Общие сведения об исходящих подключениях.
В Azure Resource Manager общедоступный IP-адрес — это ресурс с собственными свойствами.
Следующие ресурсы могут быть связаны с общедоступным IP-адресом:
Сетевые интерфейсы виртуальных машин
Наборы масштабирования виртуальных машин
Публичные балансировщики нагрузки
Виртуальные сетевые шлюзы (VPN/ER)
Шлюзы NAT
Шлюзы приложений
Брандмауэры Azure
Бастионные хосты
Серверы маршрутизации
Для масштабируемых наборов виртуальных машин используйте префиксы общедоступных IP-адресов.
Краткий обзор
В следующей таблице показано свойство, которое общедоступный IP-адрес может быть связан с ресурсом, и методы выделения. В настоящее время поддержка общедоступного IPv6 доступна не для всех типов ресурсов.
| Ресурс верхнего уровня | Привязка IP-адреса | Динамический IPv4 | Статический IPv4 | Динамический IPv6 | Статический IPv6 |
|---|---|---|---|---|---|
| Виртуальная машина | Сетевой интерфейс | Да | Да | Да | Да |
| Общедоступный балансировщик нагрузки | Фронтальная конфигурация | Да | Да | Да | Да |
| Шлюз виртуальной сети (VPN) | IP-конфигурация шлюза | Да (только не для AZ) | Да | Нет | Нет |
| Шлюз виртуальной сети (ER) | IP-конфигурация шлюза | Да | Да | Да (предварительная версия) | Нет |
| Шлюз NAT | IP-конфигурация шлюза | Нет | Да | Нет | Нет |
| Шлюз приложений | Фронтальная конфигурация | Да (только V1) | Да (только V2) | Нет | Нет |
| Брандмауэр Azure | Фронтальная конфигурация | Нет | Да | Нет | Нет |
| Бастион Хост | Конфигурация общедоступного IP-адреса | Нет | Да | Нет | Нет |
| Маршрутный сервер | Фронтальная конфигурация | Нет | Да | Нет | Нет |
Версия IP-адреса
Общедоступные IP-адреса могут быть созданы с адресом IPv4 или IPv6.
Вам может быть предоставлена возможность создать развертывание с двумя стеками с адресами IPv4 и IPv6.
SKU
Общедоступные IP-адреса создаются с использованием одного из следующих SKU:
| Общедоступный IP-адрес | Стандарт | Базовый |
|---|---|---|
| Метод распределения | Статический | Для IPv4: динамический или статический; Для IPv6: динамический. |
| Время простоя | Настраиваемый тайм-аут простоя исходящего потока от 4 до 30 минут (по умолчанию 4 минуты) и фиксированный тайм-аут простоя исходящего исходящего потока в 4 минуты. | Настраиваемый тайм-аут простоя исходящего потока от 4 до 30 минут (по умолчанию 4 минуты) и фиксированный тайм-аут простоя исходящего исходящего потока в 4 минуты. |
| Безопасность | Безопасная модель по умолчанию и закрытая для входящего трафика при использовании в качестве внешнего интерфейса. Требуется разрешить трафик с группой безопасности сети (NSG) (например, на сетевой карте виртуальной машины с подключенным общедоступным IP-адресом стандартного номера SKU). | Открыто по умолчанию. Группы безопасности сети рекомендуются, но необязательны для ограничения входящего или исходящего трафика. |
| Зоны доступности | Поддерживается. Стандартные IP-адреса могут быть незональными, зональными или зонально-избыточными. Избыточные IP-адреса зоны могут быть созданы только в регионах, где действуют 3 зоны доступности. IP-адреса, созданные до того, как зоны активируются, не будут избыточными для зоны. | Не поддерживается. |
| Предпочтение маршрутизации | Поддерживается для более точного управления маршрутизацией трафика между Azure и Интернетом. | Не поддерживается. |
| Глобальный уровень | Поддерживается балансировщиками нагрузки между регионами. | Не поддерживается. |
Примечание
IPv4-адреса Basic SKU можно обновить после создания до Standard SKU. Чтобы узнать об обновлении SKU, см. раздел Обновление общедоступного IP-адреса.
Важно
Соответствующие SKU необходимы для балансировщика нагрузки и общедоступных IP-ресурсов. У вас не может быть смеси базовых ресурсов SKU и стандартных ресурсов SKU. Вы не можете подключить автономные виртуальные машины, виртуальные машины в ресурсе группы доступности или ресурсы масштабируемого набора виртуальных машин к обоим SKU одновременно. В новых проектах следует рассмотреть возможность использования ресурсов Standard SKU. Дополнительные сведения о стандартном балансировщике нагрузки см. в разделе Стандартный балансировщик нагрузки.
Общедоступные IP-адреса имеют два типа назначения:
Статический — Ресурсу назначается IP-адрес во время его создания. IP-адрес освобождается при удалении ресурса.
Динамический — IP-адрес не указан ресурсу во время создания при выборе динамического.
IP-адрес назначается, когда вы связываете общедоступный IP-адрес с ресурсом. IP-адрес освобождается при остановке или удалении ресурса.
IP-адрес назначается, когда вы связываете общедоступный IP-адрес с ресурсом. IP-адрес освобождается при остановке или удалении ресурса.Статические общедоступные IP-адреса обычно используются в следующих сценариях:
Когда необходимо обновить правила брандмауэра для связи с ресурсами Azure.
Разрешение имен DNS, когда изменение IP-адреса потребует обновления записей A.
Ваши ресурсы Azure взаимодействуют с другими приложениями или службами, использующими модель безопасности на основе IP-адресов.
Вы используете сертификаты TLS/SSL, связанные с IP-адресом.
Примечание
Даже если для метода выделения задано значение
Базовые общедоступные IP-адреса обычно используются, когда нет зависимости от IP-адреса.
Например, общедоступный IP-ресурс высвобождается из ресурса с именем 9.0262 Ресурс А . Resource A получает другой IP-адрес при запуске, если общедоступный IP-ресурс переназначается. Любой связанный IP-адрес освобождается, если метод выделения изменяется с static на dynamic . Любой связанный IP-адрес не изменится, если метод выделения изменится с динамического на статического . Установите метод распределения на static , чтобы гарантировать, что IP-адрес останется прежним.
| Ресурс | Статический | Динамический |
|---|---|---|
| Стандартный общедоступный IPv4 | ✅ | х |
| Стандартный общедоступный IPv6 | ✅ | х |
| Базовый общедоступный IPv4 | ✅ | ✅ |
| Базовый общедоступный IPv6 | х | ✅ |
Метка DNS-имени
Выберите этот параметр, чтобы указать метку DNS для общедоступного IP-ресурса.
Эта функция работает как для адресов IPv4 (32-битные записи A), так и для адресов IPv6 (128-битные записи AAAA). Этот выбор создает сопоставление для метка имени домена . расположение .cloudapp.azure.com на общедоступный IP-адрес в DNS, управляемой Azure.
Например, создание общедоступного IP-адреса со следующими параметрами:
Полное доменное имя (FQDN) contoso.westus.cloudapp.azure.com разрешается в общедоступный IP-адрес ресурса.
Important
Каждая созданная метка доменного имени должна быть уникальной в своем местоположении Azure.
Если для служб, использующих общедоступный IP-адрес, требуется личный домен, вы можете использовать Azure DNS или внешнего поставщика DNS для своей записи DNS.
Зона доступности
Общедоступные IP-адреса со стандартным номером SKU могут быть созданы как незональные, зональные или зонально-избыточные в регионах, поддерживающих зоны доступности.
IP-адрес, избыточный для зоны, создается во всех зонах региона и может выдержать любой сбой отдельной зоны. Зональный IP-адрес привязан к определенной зоне доступности и разделяет судьбу с состоянием зоны. «Незональные» общедоступные IP-адреса помещаются в зону для вас Azure и не гарантируют избыточность.
В регионах без зон доступности все общедоступные IP-адреса создаются как незональные. Общедоступные IP-адреса, созданные в регионе, который впоследствии был обновлен, чтобы иметь зоны доступности, остаются незональными. Зона доступности общедоступного IP-адреса не может быть изменена после создания общедоступного IP-адреса.
Примечание
Все базовые общедоступные IP-адреса SKU создаются как незональные. Любой IP-адрес, обновленный с базового до стандартного SKU, остается незональным.
Другие функции общедоступного IP-адреса
Существуют и другие атрибуты, которые можно использовать для общедоступного IP-адреса.
Global Tier позволяет использовать общедоступный IP-адрес с межрегиональными балансировщиками нагрузки.
Опция Internet Routing Preference сводит к минимуму время, которое трафик проводит в сети Microsoft, снижая стоимость исходящей передачи данных.
Примечание
В настоящее время как Tier , так и Routing Preference доступны только для стандартных IPv4-адресов SKU. Их нельзя использовать на одном и том же IP-адресе одновременно.
Примечание
Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которым либо не назначен общедоступный IP-адрес, либо которые находятся во внутреннем пуле внутреннего базового балансировщика нагрузки Azure. Механизм IP-адреса исходящего доступа по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.
IP-адрес исходящего доступа по умолчанию отключен, когда общедоступный IP-адрес назначается виртуальной машине, виртуальная машина помещается во внутренний пул стандартного балансировщика нагрузки, с правилами исходящего трафика или без них, или если шлюз NAT виртуальной сети Azure ресурс назначается подсети виртуальной машины.
Виртуальные машины, созданные масштабируемыми наборами виртуальных машин в режиме гибкой оркестровки, не имеют исходящего доступа по умолчанию.
Дополнительные сведения об исходящих подключениях в Azure см. в статьях Исходящий доступ по умолчанию в Azure и Использование преобразования исходных сетевых адресов (SNAT) для исходящих подключений.
Ограничения
Ограничения для IP-адресации перечислены в полном наборе ограничений для сети в Azure. Ограничения указаны для региона и подписки.
Обратитесь в службу поддержки, чтобы увеличить ограничения по умолчанию в соответствии с потребностями вашего бизнеса.
Цена
Общедоступные IPv4-адреса имеют номинальную плату; Общедоступные IPv6-адреса предоставляются бесплатно.
Чтобы узнать больше о ценах на IP-адреса в Azure, просмотрите страницу цен на IP-адреса.
Ограничения для IPv6
Шлюзы VPN нельзя использовать в виртуальной сети с включенным IPv6, напрямую или в одноранговом режиме с «UseRemoteGateway».
Общедоступные IPv6-адреса блокируются при тайм-ауте простоя в 4 минуты.
Azure не поддерживает связь IPv6 для контейнеров.
Использование виртуальных машин только для IPv6 или масштабируемых наборов виртуальных машин не поддерживается. Каждая сетевая карта должна включать как минимум одну IP-конфигурацию IPv4 (двойной стек).
Диапазоны IPv6 нельзя добавить в виртуальную сеть с существующими ссылками для навигации по ресурсам при добавлении IPv6 к существующим развертываниям IPv4.
Прямой DNS для IPv6 поддерживается общедоступной DNS Azure. Обратный DNS не поддерживается.
Настройка маршрутизации Интернет не поддерживается.
Дополнительные сведения об IPv6 в Azure см. здесь.
Следующие шаги
Узнайте о частных IP-адресах в Azure
Разверните виртуальную машину со статическим общедоступным IP-адресом с помощью портала Azure
Обратная связь
Просмотреть все отзывы о странице
Настройка IP-брандмауэра для учетной записи Azure Cosmos DB
- Статья
- 10 минут на чтение
ПРИМЕНЯЕТСЯ К: NoSQL MongoDB Кассандра Гремлин Таблица
Для защиты данных, хранящихся в вашей учетной записи, Azure Cosmos DB поддерживает модель авторизации на основе секрета, в которой используется надежный код проверки подлинности сообщения на основе хэша (HMAC). Кроме того, Azure Cosmos DB поддерживает управление доступом на основе IP для поддержки входящего брандмауэра. Эта модель похожа на правила брандмауэра традиционной системы баз данных и обеспечивает дополнительный уровень безопасности вашей учетной записи. С помощью брандмауэров вы можете настроить свою учетную запись Azure Cosmos DB так, чтобы она была доступна только с утвержденного набора компьютеров и/или облачных служб. Доступ к данным, хранящимся в вашей базе данных Azure Cosmos DB, из этих утвержденных наборов компьютеров и служб по-прежнему потребует от вызывающей стороны предоставления действительного маркера авторизации.
Управление доступом по IP
По умолчанию ваша учетная запись Azure Cosmos DB доступна из Интернета, если запрос сопровождается действительным токеном авторизации.
Чтобы настроить управление доступом на основе IP-политики, пользователь должен указать набор IP-адресов или диапазонов IP-адресов в форме CIDR (бесклассовая междоменная маршрутизация), которые будут включены в список разрешенных клиентских IP-адресов для доступа к данной учетной записи Azure Cosmos DB. . После применения этой конфигурации любые запросы, исходящие от компьютеров, не входящих в этот список разрешенных, получают ответ 403 (запрещено). При использовании брандмауэра IP рекомендуется разрешить порталу Azure доступ к вашей учетной записи. Доступ необходим для использования обозревателя данных, а также для получения показателей для вашей учетной записи, которые отображаются на портале Azure. При использовании обозревателя данных помимо предоставления порталу Azure доступа к вашей учетной записи вам также необходимо обновить параметры брандмауэра, чтобы добавить свой текущий IP-адрес в правила брандмауэра. Обратите внимание, что для распространения изменений брандмауэра может потребоваться до 15 минут, и в течение этого периода брандмауэр может работать нестабильно.
Вы можете комбинировать брандмауэр на основе IP с контролем доступа к подсети и виртуальной сети. Комбинируя их, вы можете ограничить доступ к любому источнику с общедоступным IP-адресом и/или из определенной подсети в рамках виртуальной сети. Дополнительные сведения об использовании управления доступом на основе подсети и виртуальной сети см. в статье Доступ к ресурсам Azure Cosmos DB из виртуальных сетей.
Подводя итог, токен авторизации всегда требуется для доступа к учетной записи Azure Cosmos DB. Если брандмауэр IP и список управления доступом к виртуальной сети (ACL) не настроены, доступ к учетной записи Azure Cosmos DB можно получить с помощью токена авторизации. После настройки брандмауэра IP или списков управления доступом виртуальной сети или того и другого в учетной записи Azure Cosmos DB действительные ответы получают только запросы, исходящие из указанных вами источников (и с маркером авторизации).
Вы можете защитить данные, хранящиеся в вашей учетной записи Azure Cosmos DB, с помощью брандмауэров IP.
Azure Cosmos DB поддерживает элементы управления доступом на основе IP для поддержки входящего брандмауэра. Вы можете настроить IP-брандмауэр для учетной записи Azure Cosmos DB одним из следующих способов:
- На портале Azure
- Декларативно с помощью шаблона Azure Resource Manager
- Программно через Azure CLI или Azure PowerShell путем обновления свойства ipRangeFilter
Настройка IP-брандмауэра с помощью портала Azure
Чтобы настроить политику управления доступом к IP-адресу на портале Azure, перейдите на страницу учетной записи Azure Cosmos DB и выберите Брандмауэр и виртуальные сети в меню навигации. Измените значение Разрешить доступ с на Выбранные сети , а затем выберите Сохранить .
Когда управление доступом по IP включено, портал Azure предоставляет возможность указать IP-адреса, диапазоны IP-адресов и коммутаторы.
Переключатели обеспечивают доступ к другим службам Azure и порталу Azure. В следующих разделах приведены подробные сведения об этих переключателях.
Примечание
После включения политики управления IP-доступом для вашей учетной записи Azure Cosmos DB все запросы к вашей учетной записи Azure Cosmos DB от компьютеров, не входящих в разрешенный список диапазонов IP-адресов, отклоняются. Просмотр ресурсов Azure Cosmos DB с портала также заблокирован для обеспечения целостности управления доступом.
Разрешить запросы с портала Azure
При программном включении политики управления доступом к IP необходимо добавить IP-адрес портала Azure в Свойство ipRangeFilter для поддержания доступа. IP-адреса портала:
| Регион | IP-адрес |
|---|---|
| Китай | 139.217.8.252 |
| Правительство США | 52.244.48.71 |
| Все остальные регионы | 104. 42.195.92,40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26 |
Вы можете включить запросы на доступ к порталу Azure, выбрав Разрешить доступ с портала Azure , как показано на следующем снимке экрана:
Разрешить запросы из глобальных центров обработки данных Azure или других источников в Azure
Если вы получаете доступ к своей учетной записи Azure Cosmos DB из служб, которые не предоставляют статический IP-адрес (например, Azure Stream Analytics и Функции Azure), IP-брандмауэр для ограничения доступа. Вы можете включить доступ из других источников в Azure, выбрав Принимать подключения из центров обработки данных Azure 9.0263, как показано на следующем снимке экрана:
При включении этой опции IP-адрес 0.0.0.0 добавляется в список разрешенных IP-адресов. IP-адрес 0.0.0.0 ограничивает запросы к вашей учетной записи Azure Cosmos DB из диапазона IP-адресов центра обработки данных Azure.
Этот параметр не разрешает доступ для любых других диапазонов IP-адресов к вашей учетной записи Azure Cosmos DB.
Примечание
Этот параметр настраивает брандмауэр для разрешения всех запросов из Azure, включая запросы от подписок других клиентов, развернутых в Azure. Список IP-адресов, разрешенных этой опцией, широк, поэтому он ограничивает эффективность политики брандмауэра. Используйте этот параметр, только если ваши запросы не исходят от статических IP-адресов или подсетей в виртуальных сетях. Выбор этого параметра автоматически разрешает доступ с портала Azure, так как портал Azure развернут в Azure.
Запросы с вашего текущего IP-адреса
Для упрощения разработки портал Azure помогает определить и добавить IP-адрес вашего клиентского компьютера в список разрешенных. После этого приложения, работающие на вашем компьютере, смогут получить доступ к вашей учетной записи Azure Cosmos DB.
Портал автоматически определяет IP-адрес клиента. Это может быть IP-адрес клиента вашего компьютера или IP-адрес вашего сетевого шлюза.
Обязательно удалите этот IP-адрес, прежде чем запускать свои рабочие нагрузки в рабочую среду.
Чтобы добавить текущий IP-адрес в список IP-адресов, выберите Добавить мой текущий IP . Затем выберите Сохранить .
Запросы от облачных служб
В Azure облачные службы — это распространенный способ размещения логики службы среднего уровня с помощью Azure Cosmos DB. Чтобы разрешить доступ к вашей учетной записи Azure Cosmos DB из облачной службы, необходимо добавить общедоступный IP-адрес облачной службы в список разрешенных IP-адресов, связанных с вашей учетной записью Azure Cosmos DB, настроив политику управления доступом по IP-адресу. Это гарантирует, что все экземпляры ролей облачных служб имеют доступ к вашей учетной записи Azure Cosmos DB.
Вы можете получить IP-адреса для своих облачных служб на портале Azure, как показано на следующем снимке экрана:
При масштабировании облачной службы путем добавления экземпляров ролей эти новые экземпляры автоматически получат доступ к учетной записи Azure Cosmos DB, поскольку они являются частью одной и той же облачной службы.
Запросы от виртуальных машин
Вы также можете использовать виртуальные машины или масштабируемые наборы виртуальных машин для размещения служб среднего уровня с помощью Azure Cosmos DB. Чтобы настроить свою учетную запись Azure Cosmos DB таким образом, чтобы она разрешала доступ с виртуальных машин, необходимо настроить общедоступный IP-адрес виртуальной машины и/или масштабируемый набор виртуальных машин в качестве одного из разрешенных IP-адресов для вашей учетной записи Azure Cosmos DB, настроив Политика управления IP-доступом.
Вы можете получить IP-адреса виртуальных машин на портале Azure, как показано на следующем снимке экрана:
Когда вы добавляете экземпляры виртуальных машин в группу, они автоматически получают доступ к вашей учетной записи Azure Cosmos DB.
Запросы из Интернета
При доступе к учетной записи Azure Cosmos DB с компьютера в Интернете клиентский IP-адрес или диапазон IP-адресов компьютера необходимо добавить в список разрешенных IP-адресов для вашей учетной записи.
Добавление правил для исходящего трафика в брандмауэр
Чтобы получить доступ к текущему списку диапазонов исходящих IP-адресов для добавления в параметры брандмауэра, см. раздел Загрузка диапазонов IP-адресов и тегов службы Azure.
Чтобы автоматизировать список, см. раздел Использование API обнаружения тегов обслуживания.
Настройте IP-брандмауэр с помощью шаблона Resource Manager
Чтобы настроить управление доступом к учетной записи Azure Cosmos DB, убедитесь, что в шаблоне Resource Manager указано свойство ipRules с массивом разрешенных диапазонов IP-адресов. При настройке брандмауэра IP для уже развернутой учетной записи Azure Cosmos DB убедитесь, что 9Массив 0645 местоположений соответствует тому, что развернуто в данный момент. Вы не можете одновременно изменять массив местоположений и другие свойства. Дополнительные сведения и примеры шаблонов Azure Resource Manager для Azure Cosmos DB см. в статье Шаблоны Azure Resource Manager для Azure Cosmos DB
Important
Свойство ipRules было введено в версии API 2020-04-01.
Предыдущие версии вместо этого предоставляли свойство ipRangeFilter , которое представляет собой список IP-адресов, разделенных запятыми.
В приведенном ниже примере показано, как свойство ipRules предоставляется в API версии 2020-04-01 или более поздней:
{
"type": "Microsoft.DocumentDB/databaseAccounts",
"имя": "[переменные('accountName')]",
"apiVersion": "2020-04-01",
"местоположение": "[параметры('местоположение')]",
"вид": "ГлобалДокументБД",
"характеристики": {
"consistencyPolicy": "[переменные('consistencyPolicy')[параметры('defaultConsistencyLevel')]]",
"местоположения": "[переменные('местоположения')]",
"databaseAccountOfferType": "Стандартный",
"enableAutomaticFailover": "[параметры('automaticFailover')]",
"IPRules": [
{
"ipAddressOrRange": "40.76.54.131"
},
{
"ipAddressOrRange": "52.176.6.30"
},
{
"ipAddressOrRange": "52.1690,50,45 дюйма
},
{
"ipAddressOrRange": "52. 187.184.26"
}
]
}
}
187.184.26"
}
]
}
}
Вот тот же пример для любой версии API до 01.04.2020:
{
"type": "Microsoft.DocumentDB/databaseAccounts",
"имя": "[переменные('accountName')]",
"apiVersion": "2019-08-01",
"местоположение": "[параметры('местоположение')]",
"вид": "ГлобалДокументБД",
"характеристики": {
"consistencyPolicy": "[переменные('consistencyPolicy')[параметры('defaultConsistencyLevel')]]",
"местоположения": "[переменные('местоположения')]",
"databaseAccountOfferType": "Стандартный",
"enableAutomaticFailover": "[параметры('automaticFailover')]",
"ipRangeFilter":"40.76.54.131,52.176.6.30,52.169.50.45,52.187.184.26"
}
}
Настройка политики управления доступом по IP-адресу с помощью интерфейса командной строки Azure
Следующая команда показывает, как создать учетную запись Azure Cosmos DB с управлением доступом по IP-адресу:
# Создайте учетную запись Azure Cosmos DB со значениями по умолчанию и включенным IP-брандмауэром.
resourceGroupName = 'MyResourceGroup'
accountName='mycosmosaccount'
ipRangeFilter='192.168.221.17,183.240.196.255,40.76.54.131'
# Убедитесь, что в разделенном запятыми списке IP-адресов или диапазонов CIDR нет пробелов.
аз космосдб создать \
-n $ имя_учетной записи \
-g $ имя группы ресурсов \
--locations regionName='Запад США 2' failoverPriority=0 isZoneRedundant=False \
--locations regionName='Восточная часть США 2' failoverPriority=1 isZoneRedundant=False \
--ip-диапазонный фильтр $ipRangeFilter
Настройка политики управления доступом по IP-адресу с помощью PowerShell
В следующем сценарии показано, как создать учетную запись Azure Cosmos DB с управлением доступом по IP-адресу:
# Создайте учетную запись Azure Cosmos DB со значениями по умолчанию и включенным IP-брандмауэром.
$resourceGroupName = "моя группа ресурсов"
$accountName = "учетная запись mycosmos"
$ipRules = @("192.168.221.17","183.240.196. 255","40.76.54.131")
$местоположения = @(
@{ "locationName"="Запад США 2"; "Приоритет отказоустойчивости"=0; "isZoneRedundant"=False },
@{ "locationName"="Восток США 2"; "failoverPriority"=1, "isZoneRedundant"=False }
)
# Убедитесь, что в разделенном запятыми списке IP-адресов или диапазонов CIDR нет пробелов.
$CosmosDBProperties = @{
"databaseAccountOfferType"="Стандартный";
"местоположения"=$местоположения;
"ipRules"=$ipRules
}
New-AzResource -ResourceType "Microsoft.DocumentDb/databaseAccounts" `
-ApiVersion "2020-04-01" -ResourceGroupName $resourceGroupName `
-Name $accountName -PropertyObject $CosmosDBProperties
255","40.76.54.131")
$местоположения = @(
@{ "locationName"="Запад США 2"; "Приоритет отказоустойчивости"=0; "isZoneRedundant"=False },
@{ "locationName"="Восток США 2"; "failoverPriority"=1, "isZoneRedundant"=False }
)
# Убедитесь, что в разделенном запятыми списке IP-адресов или диапазонов CIDR нет пробелов.
$CosmosDBProperties = @{
"databaseAccountOfferType"="Стандартный";
"местоположения"=$местоположения;
"ipRules"=$ipRules
}
New-AzResource -ResourceType "Microsoft.DocumentDb/databaseAccounts" `
-ApiVersion "2020-04-01" -ResourceGroupName $resourceGroupName `
-Name $accountName -PropertyObject $CosmosDBProperties
Устранение неполадок с политикой управления доступом по IP-адресу
Устранение неполадок с политикой управления доступом по IP-адресу можно выполнить с помощью следующих параметров:
Портал Azure
Включив политику управления доступом по IP-адресу для своей учетной записи Azure Cosmos DB, вы заблокируете все запросы к вашей учетной записи с компьютеров, не входящих в разрешенный список диапазонов IP-адресов.
Чтобы включить операции плоскости данных портала, такие как просмотр контейнеров и запрос документов, необходимо явно разрешить доступ к порталу Azure с помощью Панель брандмауэра на портале.
Пакеты SDK
При доступе к ресурсам Azure Cosmos DB с помощью пакетов SDK с компьютеров, не входящих в список разрешенных, возвращается общий ответ 403 Forbidden без дополнительных сведений. Проверьте список разрешенных IP-адресов для своей учетной записи и убедитесь, что к вашей учетной записи Azure Cosmos DB применена правильная конфигурация политики.
Исходные IP-адреса в заблокированных запросах
Включите ведение журнала диагностики в своей учетной записи Azure Cosmos DB. Эти журналы показывают каждый запрос и ответ. Сообщения, связанные с брандмауэром, регистрируются с кодом возврата 403. Отфильтровав эти сообщения, вы сможете увидеть исходные IP-адреса для заблокированных запросов. См. раздел Ведение журнала диагностики Azure Cosmos DB.
Запросы из подсети с включенной конечной точкой службы для Azure Cosmos DB
Запросы из подсети в виртуальной сети с включенной конечной точкой службы для Azure Cosmos DB отправляют удостоверение виртуальной сети и подсети учетным записям Azure Cosmos DB. Эти запросы не имеют общедоступного IP-адреса источника, поэтому IP-фильтры их отклоняют. Чтобы разрешить доступ из определенных подсетей в виртуальные сети, добавьте список управления доступом, как описано в разделе Как настроить виртуальную сеть и доступ на основе подсети для вашей учетной записи Azure Cosmos DB. Применение правил брандмауэра может занять до 15 минут, и в течение этого периода брандмауэр может вести себя несогласованно.
Частные IP-адреса в списке разрешенных адресов
Создать или обновить учетную запись Azure Cosmos DB со списком разрешенных адресов, содержащих частные IP-адреса, не удастся. Убедитесь, что в списке не указан частный IP-адрес.
Следующие шаги
Чтобы настроить конечную точку службы виртуальной сети для вашей учетной записи Azure Cosmos DB, см.