服务端点总是访问Azure上资源的最安全的方式吗？

我构建了一个体系结构，在这个体系结构中，您可以触发Azure函数，将数据推送到位于我的DMZ后面的Cosmos DB中。一些实现指南指出，如果可能，应始终启用服务端点。但是，如果我这样做，Cosmos DB可能会暴露在互联网上（尽管我不允许Cosmos DB防火墙中有任何IP）。我指的是Azure（）中处理服务的顺序。因此，Cosmos DB默认具有公共端点

除了阻止所有IP地址外，我可以限制任何来自internet的公共访问吗

我是否可以限制任何来自internet的公共访问，除了阻止 所有IP地址

实际上，通过启用服务端点，您限制了只有来自该子网的请求才能访问Azure Cosmos DB。从VNet到Azure服务的流量始终保持在Microsoft Azure主干网络上。因此，这是在Azure中访问资源的一种安全方式

启用服务端点后，当从该子网与服务通信时，子网中虚拟机的源IP地址将从使用公共IPv4地址切换到使用其专用IPv4地址。此外，与该子网关联的默认NSG将继续与服务端点read一起工作。如果要拒绝所有出站internet流量，并且只允许从该子网访问cosmos DB，则可以在NSG的出站规则中添加服务标签作为目标

编辑 你可以看看这个，但它似乎还不适用于Azure Cosmos DB帐户

Azure专用链接使您能够访问Azure PaaS服务（用于 例如，Azure存储和SQL数据库）和Azure托管 客户/合作伙伴服务在您的虚拟 网络。虚拟网络和服务之间的通信量 穿越Microsoft主干网，消除暴露 来自公共互联网