Aracılığıyla paylaş

PostgreSQL için Azure Cosmos DB'de özel erişim

  • Makale

ŞUNLAR IÇIN GEÇERLIDIR: PostgreSQL için Azure Cosmos DB (PostgreSQL'e citus veritabanı uzantısıyla desteklenir)

PostgreSQL için Azure Cosmos DB üç ağ seçeneğini destekler:

  • Erişim yok
    • Genel veya özel erişim etkin değilse, yeni oluşturulan küme için varsayılan değer budur. Azure'ın içinde veya dışında hiçbir bilgisayar veritabanı düğümlerine bağlanamıyor.
  • Genel erişim
    • Koordinatör düğümüne bir genel IP adresi atanır.
    • Koordinatör düğümüne erişim güvenlik duvarı tarafından korunur.
    • İsteğe bağlı olarak, tüm çalışan düğümlerine erişim etkinleştirilebilir. Bu durumda, genel IP adresleri çalışan düğümlerine atanır ve aynı güvenlik duvarı tarafından güvenlik altına alınır.
  • Özel erişim
    • Kümenin düğümlerine yalnızca özel IP adresleri atanır.
    • Her düğüm, seçilen sanal ağdaki konakların düğümlere erişmesine izin vermek için özel bir uç nokta gerektirir.
    • Erişim denetimi için ağ güvenlik grupları gibi Azure sanal ağlarının güvenlik özellikleri kullanılabilir.

Küme oluşturduğunuzda genel veya özel erişimi etkinleştirebilir veya varsayılan erişim yok seçeneğini tercih edebilirsiniz. Küme oluşturulduktan sonra genel veya özel erişim arasında geçiş yapmayı veya ikisini birden etkinleştirmeyi seçebilirsiniz.

Bu sayfada özel erişim seçeneği açıklanmaktadır. Genel erişim için buraya bakın.

Tanımlar

Sanal ağ. Azure Sanal Ağ (VNet), Azure'da özel ağ için temel yapı taşıdır. Sanal ağlar, veritabanı sunucuları ve Azure Sanal Makineler (VM) gibi birçok Azure kaynağının birbiriyle güvenli bir şekilde iletişim kurmasını sağlar. Sanal ağlar şirket içi bağlantıları destekler, birden çok sanal ağdaki konakların eşleme yoluyla birbirleriyle etkileşim kurmasına olanak tanır ve ölçeklendirme, güvenlik seçenekleri ve yalıtım gibi ek avantajlar sağlar. Bir küme için her özel uç nokta ilişkili bir sanal ağ gerektirir.

Alt ağ. Alt ağlar bir sanal ağı bir veya daha fazla alt ağa böler. Her alt ağ, adres alanının bir kısmını alır ve adres ayırma verimliliğini artırır. Ağ Güvenlik Gruplarını kullanarak alt ağların içindeki kaynakların güvenliğini sağlayabilirsiniz. Daha fazla bilgi için bkz. Ağ güvenlik grupları.

Bir kümenin özel uç noktası için bir alt ağ seçtiğinizde, bu alt ağda geçerli ve gelecekteki gereksinimleriniz için yeterli özel IP adresinin kullanılabilir olduğundan emin olun.

Özel uç nokta. Özel uç nokta, bir sanal ağdan özel IP adresi kullanan bir ağ arabirimidir. Bu ağ arabirimi, Azure Özel Bağlantı tarafından desteklenen bir hizmete özel ve güvenli bir şekilde bağlanır. Özel uç noktalar, hizmetleri sanal ağınıza getirir.

PostgreSQL için Azure Cosmos DB için özel erişimin etkinleştirilmesi, kümenin koordinatör düğümü için özel bir uç nokta oluşturur. Uç nokta, seçilen sanal ağdaki konakların koordinatöre erişmesine izin verir. İsteğe bağlı olarak çalışan düğümleri için de özel uç noktalar oluşturabilirsiniz.

Özel DNS bölge. Azure özel DNS bölgesi, bağlı bir sanal ağ içinde ve eşlenen tüm sanal ağlarda konak adlarını çözümler. Düğümler için etki alanı kayıtları, kümeleri için seçilen özel bir DNS bölgesinde oluşturulur. Düğümlerin PostgreSQL bağlantı dizesi için tam etki alanı adlarını (FQDN) kullandığınızdan emin olun.

Sanal ağdaki (VNet) konakların bir Özel Bağlantı üzerinden verilere güvenli bir şekilde erişmesine izin vermek için kümeleriniz için özel uç noktaları kullanabilirsiniz.

Kümenin özel uç noktası, sanal ağın adres alanından bir IP adresi kullanır. Sanal ağdaki konaklar ile düğümler arasındaki trafik, Microsoft omurga ağındaki özel bir bağlantı üzerinden gider ve genel İnternet'e maruz kalma durumunu ortadan kaldırır.

Sanal ağdaki uygulamalar, aksi takdirde kullanacakları aynı bağlantı dizesi ve yetkilendirme mekanizmalarını kullanarak özel uç nokta üzerinden düğümlere sorunsuz bir şekilde bağlanabilir.

Küme oluşturma sırasında özel erişim seçebilir ve herhangi bir noktada genel erişimden özel erişime geçebilirsiniz.

Özel DNS bölgesi kullanma

PostgreSQL için Azure Cosmos DB tarafından daha önce oluşturulan özel DNS bölgelerinden birini seçmediğiniz sürece, her özel uç nokta için otomatik olarak yeni bir özel DNS bölgesi sağlanır. Daha fazla bilgi için bkz . özel DNS bölgelerine genel bakış.

PostgreSQL için Azure Cosmos DB hizmeti, özel uç noktaya sahip her düğüm için seçilen özel DNS bölgesinde olduğu gibi c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com DNS kayıtları oluşturur. Azure VM'den bir düğüme özel uç nokta üzerinden bağlandığınızda, Azure DNS düğümün FQDN'sini özel bir IP adresine çözümler.

Özel DNS bölge ayarları ve sanal ağ eşleme birbirinden bağımsızdır. Kümedeki bir düğüme başka bir sanal ağda (aynı bölgeden veya farklı bir bölgeden) sağlanan bir istemciden bağlanmak istiyorsanız, özel DNS bölgesini sanal ağa bağlamanız gerekir. Daha fazla bilgi için bkz . Sanal ağı bağlama.

Not

Hizmet her zaman her düğüm için gibi c-mygroup01.12345678901234.postgres.cosmos.azure.com genel CNAME kayıtları da oluşturur. Ancak, genel İnternet'te seçili bilgisayarlar yalnızca veritabanı yöneticisi kümeye genel erişimi etkinleştirirse genel konak adına bağlanabilir.

Özel dns sunucusu kullanıyorsanız, düğümlerin FQDN'sini çözümlemek için bir DNS ileticisi kullanmanız gerekir. İletici IP adresi 168.63.129.16 olmalıdır. Özel DNS sunucusu sanal ağın içinde olmalıdır veya sanal ağın DNS sunucusu ayarı üzerinden erişilebilir olmalıdır. Daha fazla bilgi edinmek için bkz . Kendi DNS sunucunuzu kullanan ad çözümlemesi.

Öneriler

Kümeniz için özel erişimi etkinleştirdiğinizde şunları göz önünde bulundurun:

  • Alt ağ boyutu: Bir küme için alt ağ boyutu seçerken, koordinatör için IP adresleri veya bu kümedeki tüm düğümler gibi geçerli gereksinimleri ve gelecekte söz konusu kümenin büyümesi gibi gereksinimleri göz önünde bulundurun.

    Geçerli ve gelecekteki gereksinimler için yeterli özel IP adresine sahip olduğunuzdan emin olun. Azure'ın her alt ağda beş IP adresi ayırmış olduğunu unutmayın.

    Bu SSS'deki diğer ayrıntılara bakın.

  • Özel DNS bölge: Özel IP adreslerine sahip DNS kayıtları PostgreSQL için Azure Cosmos DB hizmeti tarafından tutulacak. Kümeler için kullanılan özel DNS bölgesini silmediğinizden emin olun.

Sınırlar ve sınırlamalar

PostgreSQL için Azure Cosmos DB sınırları ve sınırlamaları sayfasına bakın.

Sonraki adımlar