Privát hozzáférés az Azure Cosmos DB for PostgreSQL-ben

A KÖVETKEZŐKRE VONATKOZIK: Azure Cosmos DB for PostgreSQL (a PostgreSQL-hez készült Citus-adatbázisbővítmény működteti)

Az Azure Cosmos DB for PostgreSQL három hálózati lehetőséget támogat:

• Nincs hozzáférés
  • Ez az alapértelmezett beállítás az újonnan létrehozott fürtök esetében, ha a nyilvános vagy privát hozzáférés nincs engedélyezve. Az adatbáziscsomópontokhoz egyetlen számítógép sem tud csatlakozni, akár az Azure-on belül, akár azon kívül.
• Nyilvános hozzáférés
  • A rendszer egy nyilvános IP-címet rendel a koordinátor-csomóponthoz.
  • A koordinátor-csomóponthoz való hozzáférést tűzfal védi.
  • Igény szerint az összes munkavégző csomóponthoz való hozzáférés engedélyezhető. Ebben az esetben a nyilvános IP-címek a munkavégző csomópontokhoz vannak rendelve, és ugyanazzal a tűzfallal vannak védve.
• Privát hozzáférés
  • Csak magánhálózati IP-címek vannak hozzárendelve a fürt csomópontjaihoz.
  • Minden csomóponthoz egy privát végpontra van szükség ahhoz, hogy a kiválasztott virtuális hálózat gazdagépei elérhessék a csomópontokat.
  • Az Azure-beli virtuális hálózatok, például a hálózati biztonsági csoportok biztonsági funkciói a hozzáférés-vezérléshez használhatók.

Fürt létrehozásakor engedélyezheti a nyilvános vagy privát hozzáférést, vagy választhatja a hozzáférés nélküli alapértelmezett beállítást. A fürt létrehozása után választhat, hogy vált a nyilvános vagy a privát hozzáférés között, vagy mindkettőt egyszerre aktiválja.

Ez a lap a privát hozzáférés lehetőségét ismerteti. A nyilvános hozzáférésről itt olvashat.

Definíciók

Virtuális hálózat. Az Azure Virtual Network (VNet) az Azure privát hálózatkezelésének alapvető építőeleme. A virtuális hálózatok számos típusú Azure-erőforrást, például adatbázis-kiszolgálókat és Azure Virtual Machines (VM) tesznek lehetővé az egymással való biztonságos kommunikációhoz. A virtuális hálózatok támogatják a helyszíni kapcsolatokat, lehetővé teszik, hogy több virtuális hálózat gazdagépei társviszony-létesítésen keresztül kommunikáljanak egymással, és további előnyöket nyújtsanak a méretezés, a biztonsági lehetőségek és az elkülönítés terén. A fürt minden privát végpontja egy társított virtuális hálózatot igényel.

Alhálózat. Az alhálózatok egy virtuális hálózatot egy vagy több alhálózatra szegmentáltak. Minden alhálózat megkapja a címtér egy részét, ami javítja a címfoglalás hatékonyságát. Az alhálózatokon belüli erőforrásokat hálózati biztonsági csoportokkal teheti biztonságossá. További információ: Hálózati biztonsági csoportok.

Amikor kiválaszt egy alhálózatot egy fürt privát végpontjához, győződjön meg arról, hogy az adott alhálózaton elegendő magánhálózati IP-cím érhető el a jelenlegi és jövőbeli igényeinek megfelelően.

Privát végpont. A privát végpontok olyan hálózati adapterek, amelyek egy virtuális hálózat magánhálózati IP-címét használják. Ez a hálózati adapter privát módon és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpontok beviszik a szolgáltatásokat a virtuális hálózatba.

Az Azure Cosmos DB for PostgreSQL privát hozzáférésének engedélyezése privát végpontot hoz létre a fürt koordinátor-csomópontja számára. A végpont lehetővé teszi, hogy a kiválasztott virtuális hálózaton lévő gazdagépek hozzáférjenek a koordinátorhoz. A feldolgozó csomópontokhoz is létrehozhat privát végpontokat.

saját DNS zónát. Az Azure privát DNS-zónája feloldja a gazdagépneveket egy társított virtuális hálózaton belül és bármely társviszonyban álló virtuális hálózaton belül. A csomópontok tartományrekordjai a fürthöz kiválasztott privát DNS-zónában jönnek létre. Ügyeljen arra, hogy teljes tartományneveket (FQDN) használjon a csomópontok PostgreSQL-kapcsolati sztringjeihez.

Private Link

A fürtök privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő gazdagépek biztonságosan hozzáférjenek az adatokhoz egy Private Link keresztül.

A fürt privát végpontja a virtuális hálózat címteréből származó IP-címet használ. A virtuális hálózaton lévő gazdagépek és csomópontok közötti forgalom a Microsoft gerinchálózatán található privát kapcsolaton halad át, így nincs kitéve a nyilvános internetnek.

A virtuális hálózatban lévő alkalmazások zökkenőmentesen csatlakozhatnak a csomópontokhoz a privát végponton keresztül ugyanazokkal a kapcsolati sztringekkel és engedélyezési mechanizmusokkal, amelyeket egyébként használnának.

A fürt létrehozása során kiválaszthatja a privát hozzáférést, és bármikor átválthat nyilvános hozzáférésről privát hozzáférésre.

Privát DNS-zóna használata

Minden privát végponthoz automatikusan létrejön egy új privát DNS-zóna, hacsak nem választja ki az Azure Cosmos DB for PostgreSQL által korábban létrehozott privát DNS-zónák egyikét. További információkért lásd a privát DNS-zónák áttekintését.

Az Azure Cosmos DB for PostgreSQL szolgáltatás dns-rekordokat hoz létre, például c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com a kiválasztott privát DNS-zónában minden privát végponttal rendelkező csomóponthoz. Amikor egy Azure-beli virtuális gépről csatlakozik egy csomóponthoz privát végponton keresztül, az Azure DNS feloldja a csomópont teljes tartománynevét egy privát IP-címre.

saját DNS zónabeállítások és a virtuális hálózatok közötti társviszony-létesítés független egymástól. Ha egy másik virtuális hálózaton (ugyanazon régióból vagy másik régióból) kiépített ügyfélről szeretne csatlakozni a fürt egyik csomópontjára, a privát DNS-zónát össze kell kapcsolnia a virtuális hálózattal. További információ: A virtuális hálózat összekapcsolása.

Megjegyzés

A szolgáltatás mindig nyilvános CNAME rekordokat hoz létre, például c-mygroup01.12345678901234.postgres.cosmos.azure.com minden csomóponthoz. A nyilvános interneten lévő kijelölt számítógépek azonban csak akkor tudnak csatlakozni a nyilvános állomásnévhez, ha az adatbázis rendszergazdája engedélyezi a fürthöz való nyilvános hozzáférést .

Ha egyéni DNS-kiszolgálót használ, dns-továbbítót kell használnia a csomópontok teljes tartománynevének feloldásához. A továbbító IP-címének 168.63.129.16-osnak kell lennie. Az egyéni DNS-kiszolgálónak a virtuális hálózaton belül kell lennie, vagy elérhetőnek kell lennie a virtuális hálózat DNS-kiszolgálóbeállításán keresztül. További információ: Saját DNS-kiszolgálót használó névfeloldás.

Javaslatok

Ha engedélyezi a privát hozzáférést a fürthöz, fontolja meg a következőket:

• Alhálózat mérete: A fürt alhálózati méretének kiválasztásakor vegye figyelembe a jelenlegi igényeket, például a koordinátor IP-címét vagy a fürt összes csomópontját, valamint a jövőbeli igényeket, például a fürt növekedését. Győződjön meg arról, hogy elegendő magánhálózati IP-címmel rendelkezik a jelenlegi és a jövőbeli igényekhez. Ne feledje, hogy az Azure minden alhálózatban öt IP-címet foglal le. További részleteket ebben a gyikban talál.
• saját DNS zóna: A privát IP-címmel rendelkező DNS-rekordokat az Azure Cosmos DB for PostgreSQL szolgáltatás fogja kezelni. Győződjön meg arról, hogy nem törli a fürtökhöz használt privát DNS-zónát.

Korlátok és korlátozások

Lásd: Az Azure Cosmos DB for PostgreSQL korlátainak és korlátainak oldala.

Következő lépések

• Megtudhatja, hogyan engedélyezheti és kezelheti a privát hozzáférést
• Kövesse az oktatóanyagot a privát hozzáférés működés közbeni megtekintéséhez.
• Tudnivalók a privát végpontokról
• Tudnivalók a virtuális hálózatokról
• Tudnivalók a privát DNS-zónákról