Akses pribadi di Azure Database untuk PostgreSQL - Hyperscale (Citus)

BERLAKU UNTUK: Azure Database for PostgreSQL - Hyperscale (Citus)

Azure Database for PostgreSQL – Hyperscale (Citus) mendukung tiga opsi jaringan:

• Tidak ada akses
  • Ini adalah default untuk grup server yang baru dibuat jika akses publik atau privat tidak diaktifkan. Tidak ada komputer, baik di dalam atau di luar Azure, yang dapat terhubung ke node database.
• Akses publik
  • Alamat IP publik ditetapkan ke node koordinator.
  • Akses ke node koordinator dilindungi oleh firewall.
  • Secara opsional, akses ke semua node pekerja dapat diaktifkan. Dalam hal ini, alamat IP publik ditetapkan ke node pekerja dan diamankan oleh firewall yang sama.
• Akses privat
  • Hanya alamat IP privat yang ditetapkan ke node grup server.
  • Setiap node memerlukan titik akhir privat untuk memungkinkan host di jaringan virtual yang dipilih untuk mengakses node Hyperscale (Citus).
  • Fitur keamanan jaringan virtual Azure seperti kelompok keamanan jaringan dapat digunakan untuk kontrol akses.

Saat Anda membuat grup server Hyperscale (Citus), Anda dapat mengaktifkan akses publik atau privat, atau memilih default tanpa akses. Setelah grup server dibuat, Anda dapat memilih untuk beralih antara akses publik atau privat, atau mengaktifkan keduanya sekaligus.

Halaman ini menjelaskan opsi akses privat. Untuk akses publik, lihat di sini.

Definisi

Jaringan virtual. Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan privat Anda di Azure. Jaringan virtual mengaktifkan berbagai jenis sumber daya Azure, seperti server database dan Azure Virtual Machines (VM), untuk berkomunikasi secara aman dengan satu sama lain. Jaringan virtual mendukung koneksi lokal, memungkinkan host di beberapa jaringan virtual untuk berinteraksi satu sama lain melalui peering, dan memberikan manfaat tambahan dari skala, opsi keamanan, dan isolasi. Setiap titik akhir privat untuk grup server Hyperscale (Citus) memerlukan jaringan virtual terkait.

Subnet. Subnet mengelompokkan jaringan virtual menjadi satu subjaringan atau lebih. Setiap subjaringan mendapatkan sebagian dari ruang alamat, meningkatkan efisiensi alokasi alamat. Anda bisa mengamankan sumber daya dalam subnet menggunakan Kelompok Keamanan Jaringan. Untuk informasi selengkapnya, lihat Kelompok keamanan jaringan.

Saat Anda memilih subnet untuk titik akhir privat Hyperscale (Citus), pastikan alamat IP privat yang tersedia di subnet tersebut cukup untuk kebutuhan Anda saat ini dan di masa depan.

Titik akhir privat. Titik akhir privat adalah antarmuka jaringan yang menggunakan alamat IP privat dari suatu jaringan virtual. Antarmuka jaringan ini terhubung secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat membawa layanan ke jaringan virtual Anda.

Mengaktifkan akses privat untuk Hyperscale (Citus) membuat titik akhir privat untuk node koordinator grup server. Titik akhir tersebut memungkinkan host di jaringan virtual yang dipilih untuk mengakses koordinator. Anda secara opsional juga dapat membuat titik akhir privat untuk node pekerja.

Zona DNS Privat. Zona DNS privat Azure menyelesaikan nama host dalam jaringan virtual tertaut, dan dalam jaringan virtual serekan apa pun. Catatan domain untuk node Hyperscale (Citus) dibuat di zona DNS privat yang dipilih untuk grup server mereka. Pastikan untuk menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk string koneksi PostgreSQL node.

Tautan privat

Anda dapat menggunakan titik akhir privat untuk grup server Hyperscale (Citus) Anda untuk memungkinkan host di jaringan virtual (VNet) untuk mengakses data dengan aman melalui Private Link.

Titik akhir privat grup server menggunakan alamat IP dari ruang alamat jaringan virtual. Lalu lintas antara host di jaringan virtual dan node Hyperscale (Citus) melewati tautan privat pada jaringan backbone Microsoft, menghilangkan paparan Internet publik.

Aplikasi di jaringan virtual dapat tersambung ke node Hyperscale (Citus) melalui titik akhir privat dengan mulus, menggunakan rangkaian koneksi dan mekanisme otorisasi yang sama yang juga akan mereka gunakan.

Anda dapat memilih akses privat selama pembuatan grup server Hyperscale (Citus), dan Anda dapat beralih dari akses publik ke akses privat kapan saja.

Menggabungkan zona DNS Privat

Zona DNS privat baru secara otomatis diprovisikan untuk setiap titik akhir privat, kecuali jika Anda memilih salah satu zona DNS privat yang sebelumnya dibuat oleh Hyperscale (Citus). Untuk informasi selengkapnya, lihat Ringkasan zona DNS privat.

Layanan Hyperscale (Citus) membuat catatan DNS seperti c.privatelink.mygroup01.postgres.database.azure.com di zona DNS pribadi yang dipilih untuk setiap simpul dengan titik akhir pribadi. Ketika Anda terhubung ke node Hyperscale (Citus) dari Azure VM melalui titik akhir privat, Azure DNS menyelesaikan FQDN node menjadi alamat IP privat.

Pengaturan zona DNS privat dan peering jaringan virtual tidak tergantung satu sama lain. Jika Anda ingin terhubung ke suatu node dalam grup server dari klien yang diprovisikan di jaringan virtual lain (dari wilayah yang sama atau wilayah yang berbeda), Anda harus menautkan zona DNS privat dengan jaringan virtual tersebut. Untuk informasi selengkapnya, lihat Menautkan jaringan virtual.

Catatan

Layanan tersebut juga membuat catatan CNAME publik, seperti c.mygroup01.postgres.database.azure.com, untuk setiap node. Namun, komputer yang dipilih di internet publik dapat terhubung ke nama host publik hanya jika administrator database mengaktifkan akses publik ke grup server.

Jika Anda menggunakan server DNS kustom, Anda harus menggunakan pengalih DNS untuk menyelesaikan FQDN node Hyperscale (Citus). Alamat IP forwarder harus 168.63.129.16. Server DNS kustom harus berada di dalam VNet atau dapat dijangkau melalui pengaturan Server DNS VNET. Untuk mempelajari lebih lanjut, lihat Resolusi nama yang menggunakan server DNS Anda sendiri.

Rekomendasi

Saat Anda mengaktifkan akses privat untuk grup server Hyperscale (Citus), pertimbangkan:

• Ukuran subnet: Saat memilih ukuran subnet untuk grup server Hyperscale (Citus), pertimbangkan kebutuhan saat ini, seperti alamat IP untuk koordinator atau semua node dalam grup server tersebut, dan kebutuhan di masa mendatang, seperti pertumbuhan grup server tersebut. Pastikan Anda memiliki alamat IP privat yang cukup untuk kebutuhan saat ini dan di masa mendatang. Perlu diingat, Azure menyimpan lima alamat IP di setiap subnet. Lihat detail selengkapnya dalam FAQ ini.
• Zona DNS privat: Catatan DNS dengan alamat IP privat akan dikelola oleh layanan Hyperscale (Citus). Pastikan Anda tidak menghapus zona DNS privat yang digunakan untuk grup server Hyperscale (Citus).

Batasan dan pembatasan

Lihat halaman batas dan batasan Hyperscale (Citus).

Langkah berikutnya

• Pelajari cara mengaktifkan dan mengelola akses pribadi
• Ikuti tutorial untuk melihat aksi akses pribadi.
• Pelajari tentang titik akhir privat
• Pelajari tentang jaringan virtual
• Pelajari tentang zona DNS privat