Privát hozzáférés az Azure Cosmos DB for PostgreSQL-ben
A KÖVETKEZŐKRE VONATKOZIK: Azure Cosmos DB for PostgreSQL (a PostgreSQL-hez készült Citus-adatbázisbővítmény működteti)
Az Azure Cosmos DB for PostgreSQL három hálózati lehetőséget támogat:
- Nincs hozzáférés
- Ez az alapértelmezett beállítás az újonnan létrehozott fürtök esetében, ha a nyilvános vagy privát hozzáférés nincs engedélyezve. Az adatbáziscsomópontokhoz egyetlen számítógép sem tud csatlakozni, akár az Azure-on belül, akár azon kívül.
- Nyilvános hozzáférés
- A rendszer egy nyilvános IP-címet rendel a koordinátor-csomóponthoz.
- A koordinátor-csomóponthoz való hozzáférést tűzfal védi.
- Igény szerint az összes munkavégző csomóponthoz való hozzáférés engedélyezhető. Ebben az esetben a nyilvános IP-címek a munkavégző csomópontokhoz vannak rendelve, és ugyanazzal a tűzfallal vannak védve.
- Privát hozzáférés
- Csak magánhálózati IP-címek vannak hozzárendelve a fürt csomópontjaihoz.
- Minden csomóponthoz egy privát végpontra van szükség ahhoz, hogy a kiválasztott virtuális hálózat gazdagépei elérhessék a csomópontokat.
- Az Azure-beli virtuális hálózatok, például a hálózati biztonsági csoportok biztonsági funkciói a hozzáférés-vezérléshez használhatók.
Fürt létrehozásakor engedélyezheti a nyilvános vagy privát hozzáférést, vagy választhatja a hozzáférés nélküli alapértelmezett beállítást. A fürt létrehozása után választhat, hogy vált a nyilvános vagy a privát hozzáférés között, vagy mindkettőt egyszerre aktiválja.
Ez a lap a privát hozzáférés lehetőségét ismerteti. A nyilvános hozzáférésről itt olvashat.
Definíciók
Virtuális hálózat. Az Azure Virtual Network (VNet) az Azure privát hálózatkezelésének alapvető építőeleme. A virtuális hálózatok számos típusú Azure-erőforrást, például adatbázis-kiszolgálókat és Azure Virtual Machines (VM) tesznek lehetővé az egymással való biztonságos kommunikációhoz. A virtuális hálózatok támogatják a helyszíni kapcsolatokat, lehetővé teszik, hogy több virtuális hálózat gazdagépei társviszony-létesítésen keresztül kommunikáljanak egymással, és további előnyöket nyújtsanak a méretezés, a biztonsági lehetőségek és az elkülönítés terén. A fürt minden privát végpontja egy társított virtuális hálózatot igényel.
Alhálózat. Az alhálózatok egy virtuális hálózatot egy vagy több alhálózatra szegmentáltak. Minden alhálózat megkapja a címtér egy részét, ami javítja a címfoglalás hatékonyságát. Az alhálózatokon belüli erőforrásokat hálózati biztonsági csoportokkal teheti biztonságossá. További információ: Hálózati biztonsági csoportok.
Amikor kiválaszt egy alhálózatot egy fürt privát végpontjához, győződjön meg arról, hogy az adott alhálózaton elegendő magánhálózati IP-cím érhető el a jelenlegi és jövőbeli igényeinek megfelelően.
Privát végpont. A privát végpontok olyan hálózati adapterek, amelyek egy virtuális hálózat magánhálózati IP-címét használják. Ez a hálózati adapter privát módon és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpontok beviszik a szolgáltatásokat a virtuális hálózatba.
Az Azure Cosmos DB for PostgreSQL privát hozzáférésének engedélyezése privát végpontot hoz létre a fürt koordinátor-csomópontja számára. A végpont lehetővé teszi, hogy a kiválasztott virtuális hálózaton lévő gazdagépek hozzáférjenek a koordinátorhoz. A feldolgozó csomópontokhoz is létrehozhat privát végpontokat.
saját DNS zónát. Az Azure privát DNS-zónája feloldja a gazdagépneveket egy társított virtuális hálózaton belül és bármely társviszonyban álló virtuális hálózaton belül. A csomópontok tartományrekordjai a fürthöz kiválasztott privát DNS-zónában jönnek létre. Ügyeljen arra, hogy teljes tartományneveket (FQDN) használjon a csomópontok PostgreSQL-kapcsolati sztringjeihez.
Private Link
A fürtök privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő gazdagépek biztonságosan hozzáférjenek az adatokhoz egy Private Link keresztül.
A fürt privát végpontja a virtuális hálózat címteréből származó IP-címet használ. A virtuális hálózaton lévő gazdagépek és csomópontok közötti forgalom a Microsoft gerinchálózatán található privát kapcsolaton halad át, így nincs kitéve a nyilvános internetnek.
A virtuális hálózatban lévő alkalmazások zökkenőmentesen csatlakozhatnak a csomópontokhoz a privát végponton keresztül ugyanazokkal a kapcsolati sztringekkel és engedélyezési mechanizmusokkal, amelyeket egyébként használnának.
A fürt létrehozása során kiválaszthatja a privát hozzáférést, és bármikor átválthat nyilvános hozzáférésről privát hozzáférésre.
Privát DNS-zóna használata
Minden privát végponthoz automatikusan létrejön egy új privát DNS-zóna, hacsak nem választja ki az Azure Cosmos DB for PostgreSQL által korábban létrehozott privát DNS-zónák egyikét. További információkért lásd a privát DNS-zónák áttekintését.
Az Azure Cosmos DB for PostgreSQL szolgáltatás dns-rekordokat hoz létre, például c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com
a kiválasztott privát DNS-zónában minden privát végponttal rendelkező csomóponthoz. Amikor egy Azure-beli virtuális gépről csatlakozik egy csomóponthoz privát végponton keresztül, az Azure DNS feloldja a csomópont teljes tartománynevét egy privát IP-címre.
saját DNS zónabeállítások és a virtuális hálózatok közötti társviszony-létesítés független egymástól. Ha egy másik virtuális hálózaton (ugyanazon régióból vagy másik régióból) kiépített ügyfélről szeretne csatlakozni a fürt egyik csomópontjára, a privát DNS-zónát össze kell kapcsolnia a virtuális hálózattal. További információ: A virtuális hálózat összekapcsolása.
Megjegyzés
A szolgáltatás mindig nyilvános CNAME rekordokat hoz létre, például c-mygroup01.12345678901234.postgres.cosmos.azure.com
minden csomóponthoz. A nyilvános interneten lévő kijelölt számítógépek azonban csak akkor tudnak csatlakozni a nyilvános állomásnévhez, ha az adatbázis rendszergazdája engedélyezi a fürthöz való nyilvános hozzáférést .
Ha egyéni DNS-kiszolgálót használ, dns-továbbítót kell használnia a csomópontok teljes tartománynevének feloldásához. A továbbító IP-címének 168.63.129.16-osnak kell lennie. Az egyéni DNS-kiszolgálónak a virtuális hálózaton belül kell lennie, vagy elérhetőnek kell lennie a virtuális hálózat DNS-kiszolgálóbeállításán keresztül. További információ: Saját DNS-kiszolgálót használó névfeloldás.
Javaslatok
Ha engedélyezi a privát hozzáférést a fürthöz, fontolja meg a következőket:
- Alhálózat mérete: A fürt alhálózati méretének kiválasztásakor vegye figyelembe a jelenlegi igényeket, például a koordinátor IP-címét vagy a fürt összes csomópontját, valamint a jövőbeli igényeket, például a fürt növekedését. Győződjön meg arról, hogy elegendő magánhálózati IP-címmel rendelkezik a jelenlegi és a jövőbeli igényekhez. Ne feledje, hogy az Azure minden alhálózatban öt IP-címet foglal le. További részleteket ebben a gyikban talál.
- saját DNS zóna: A privát IP-címmel rendelkező DNS-rekordokat az Azure Cosmos DB for PostgreSQL szolgáltatás fogja kezelni. Győződjön meg arról, hogy nem törli a fürtökhöz használt privát DNS-zónát.
Korlátok és korlátozások
Lásd: Az Azure Cosmos DB for PostgreSQL korlátainak és korlátainak oldala.
Következő lépések
- Megtudhatja, hogyan engedélyezheti és kezelheti a privát hozzáférést
- Kövesse az oktatóanyagot a privát hozzáférés működés közbeni megtekintéséhez.
- Tudnivalók a privát végpontokról
- Tudnivalók a virtuális hálózatokról
- Tudnivalók a privát DNS-zónákról