Akses privat di Azure Cosmos DB for PostgreSQL

BERLAKU UNTUK: Azure Cosmos DB for PostgreSQL (didukung oleh ekstensi database Citus ke PostgreSQL)

Azure Cosmos DB for PostgreSQL mendukung tiga opsi jaringan:

• Tidak ada akses
  • Ini adalah default untuk kluster yang baru dibuat jika akses publik atau privat tidak diaktifkan. Tidak ada komputer, baik di dalam atau di luar Azure, yang dapat terhubung ke node database.
• Akses publik
  • Alamat IP publik ditetapkan ke node koordinator.
  • Akses ke node koordinator dilindungi oleh firewall.
  • Secara opsional, akses ke semua node pekerja dapat diaktifkan. Dalam hal ini, alamat IP publik ditetapkan ke node pekerja dan diamankan oleh firewall yang sama.
• Akses privat
  • Hanya alamat IP privat yang ditetapkan ke simpul kluster.
  • Setiap simpul memerlukan titik akhir privat untuk memungkinkan host di jaringan virtual yang dipilih untuk mengakses simpul.
  • Fitur keamanan jaringan virtual Azure seperti kelompok keamanan jaringan dapat digunakan untuk kontrol akses.

Saat membuat kluster, Anda dapat mengaktifkan akses publik atau privat, atau memilih default tanpa akses. Setelah kluster dibuat, Anda dapat memilih untuk beralih antara akses publik atau privat, atau mengaktifkannya sekaligus.

Halaman ini menjelaskan opsi akses privat. Untuk akses publik, lihat di sini.

Definisi

Jaringan virtual. Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan privat Anda di Azure. Jaringan virtual mengaktifkan berbagai jenis sumber daya Azure, seperti server database dan Azure Virtual Machines (VM), untuk berkomunikasi secara aman dengan satu sama lain. Jaringan virtual mendukung koneksi lokal, memungkinkan host di beberapa jaringan virtual berinteraksi satu sama lain melalui peering, dan memberikan manfaat tambahan dari skala, opsi keamanan, dan isolasi. Setiap titik akhir privat untuk kluster memerlukan jaringan virtual terkait.

Subnet. Subnet mengelompokkan jaringan virtual menjadi satu subjaringan atau lebih. Setiap subjaringan mendapatkan sebagian dari ruang alamat, meningkatkan efisiensi alokasi alamat. Anda bisa mengamankan sumber daya dalam subnet menggunakan Kelompok Keamanan Jaringan. Untuk informasi selengkapnya, lihat Kelompok keamanan jaringan.

Saat Anda memilih subnet untuk titik akhir privat kluster, pastikan alamat IP privat yang cukup tersedia di subnet tersebut untuk kebutuhan Anda saat ini dan di masa mendatang.

Titik akhir privat. Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari suatu jaringan virtual. Antarmuka jaringan ini terhubung secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat membawa layanan ke jaringan virtual Anda.

Mengaktifkan akses privat untuk Azure Cosmos DB for PostgreSQL membuat titik akhir privat untuk simpul koordinator kluster. Titik akhir tersebut memungkinkan host di jaringan virtual yang dipilih untuk mengakses koordinator. Anda secara opsional juga dapat membuat titik akhir privat untuk node pekerja.

Zona DNS Privat. Zona DNS privat Azure menyelesaikan nama host dalam jaringan virtual tertaut, dan dalam jaringan virtual serekan apa pun. Catatan domain untuk simpul dibuat di zona DNS privat yang dipilih untuk klusternya. Pastikan untuk menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk string koneksi PostgreSQL node.

Tautan privat

Anda dapat menggunakan titik akhir privat untuk kluster Anda untuk memungkinkan host di jaringan virtual (VNet) mengakses data dengan aman melalui Private Link.

Titik akhir privat kluster menggunakan alamat IP dari ruang alamat jaringan virtual. Lalu lintas antara host di jaringan virtual dan simpul melewati tautan privat di jaringan backbone Microsoft, menghilangkan paparan ke Internet publik.

Aplikasi dalam jaringan virtual dapat terhubung ke simpul melalui titik akhir privat dengan mulus, menggunakan string koneksi dan mekanisme otorisasi yang sama yang akan mereka gunakan sebaliknya.

Anda dapat memilih akses privat selama pembuatan kluster, dan Anda dapat beralih dari akses publik ke akses privat kapan saja.

Menggabungkan zona DNS Privat

Zona DNS privat baru secara otomatis disediakan untuk setiap titik akhir privat, kecuali Anda memilih salah satu zona DNS privat yang sebelumnya dibuat oleh Azure Cosmos DB for PostgreSQL. Untuk informasi selengkapnya, lihat Ringkasan zona DNS privat.

Layanan Azure Cosmos DB for PostgreSQL membuat rekaman DNS seperti c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com di zona DNS privat yang dipilih untuk setiap simpul dengan titik akhir privat. Saat Anda menyambungkan ke simpul dari Azure VM melalui titik akhir privat, Azure DNS menyelesaikan FQDN simpul ke alamat IP privat.

Pengaturan zona DNS privat dan peering jaringan virtual tidak tergantung satu sama lain. Jika Anda ingin terhubung ke node di kluster dari klien yang disediakan di jaringan virtual lain (dari wilayah yang sama atau wilayah yang berbeda), Anda harus menautkan zona DNS privat dengan jaringan virtual. Untuk informasi selengkapnya, lihat Menautkan jaringan virtual.

Catatan

Layanan tersebut juga membuat catatan CNAME publik, seperti c-mygroup01.12345678901234.postgres.cosmos.azure.com, untuk setiap node. Namun, komputer yang dipilih di internet publik dapat terhubung ke nama host publik hanya jika administrator database mengaktifkan akses publik ke kluster.

Jika Anda menggunakan server DNS kustom, Anda harus menggunakan penerus DNS untuk mengatasi FQDN simpul. Alamat IP forwarder harus 168.63.129.16. Server DNS kustom harus berada di dalam VNet atau dapat dijangkau melalui pengaturan Server DNS VNET. Untuk mempelajari lebih lanjut, lihat Resolusi nama yang menggunakan server DNS Anda sendiri.

Rekomendasi

Saat Anda mengaktifkan akses privat untuk kluster Anda, pertimbangkan:

• Ukuran subnet: Saat memilih ukuran subnet untuk kluster, pertimbangkan kebutuhan saat ini seperti alamat IP untuk koordinator atau semua simpul dalam kluster tersebut, dan kebutuhan di masa mendatang seperti pertumbuhan kluster tersebut. Pastikan Anda memiliki alamat IP privat yang cukup untuk kebutuhan saat ini dan di masa mendatang. Perlu diingat, Azure menyimpan lima alamat IP di setiap subnet. Lihat detail selengkapnya dalam FAQ ini.
• Zona DNS privat: Catatan DNS dengan alamat IP privat akan dikelola oleh layanan Azure Cosmos DB for PostgreSQL. Pastikan Anda tidak menghapus zona DNS privat yang digunakan untuk kluster.

Batasan dan pembatasan

Lihat halaman batasan dan batasan Azure Cosmos DB for PostgreSQL.

Langkah berikutnya

• Pelajari cara mengaktifkan dan mengelola akses pribadi
• Ikuti tutorial untuk melihat aksi akses pribadi.
• Pelajari tentang titik akhir privat
• Pelajari tentang jaringan virtual
• Pelajari tentang zona DNS privat