وصول خاص في Azure Cosmos DB ل PostgreSQL

  • مقالة

ينطبق على: Azure Cosmos DB ل PostgreSQL (مدعوم بملحق قاعدة بيانات Citus إلى PostgreSQL)

يدعم Azure Cosmos DB ل PostgreSQL ثلاثة خيارات للشبكات:

  • ممنوع الدخول
    • هذا هو الإعداد الافتراضي لنظام مجموعة تم إنشاؤه حديثا إذا لم يتم تمكين الوصول العام أو الخاص. لا يمكن لأجهزة الكمبيوتر، سواء داخل أو خارج Azure، الاتصال بعقد قاعدة البيانات.
  • الوصول العام
    • يتم تعيين عنوان IP عام إلى عقدة المنسق.
    • الوصول إلى عقدة المنسق محمي بجدار الحماية.
    • بشكل اختياري، يمكن تمكين الوصول إلى جميع عقد العمال. في هذه الحالة، يتم تعيين عناوين IP العامة إلى عقد العمال ويتم تأمينها بنفس جدار الحماية.
  • وصول خاص
    • يتم تعيين عناوين IP الخاصة فقط لعقد نظام المجموعة.
    • تتطلب كل عقدة نقطة نهاية خاصة للسماح للمضيفين في الشبكة الظاهرية المحددة بالوصول إلى العقد.
    • يمكن استخدام ميزات الأمان لشبكات Azure الظاهرية مثل مجموعات أمان الشبكة للتحكم في الوصول.

عند إنشاء نظام مجموعة، يمكنك تمكين الوصول العام أو الخاص، أو اختيار الإعداد الافتراضي لعدم الوصول. بمجرد إنشاء نظام المجموعة، يمكنك اختيار التبديل بين الوصول العام أو الخاص، أو تنشيطهما في وقت واحد.

تصف هذه الصفحة خيار الوصول الخاص. للوصول العام، راجع هنا.

التعريفات

شبكة ظاهرية. تعد شبكة Azure الافتراضية (VNet) كتلة البناء الأساسية للشبكات الخاصة في Azure. تتيح الشبكات الافتراضية العديد من أنواع موارد Azure، مثل خوادم قواعد البيانات والأجهزة الظاهرية Azure (VM)، للتواصل بشكل آمن مع بعضها بعضًا. تدعم الشبكات الظاهرية الاتصالات المحلية، وتسمح للمضيفين في شبكات ظاهرية متعددة بالتفاعل مع بعضهم البعض من خلال التناظر، وتوفر فوائد إضافية للمقياس وخيارات الأمان والعزل. تتطلب كل نقطة نهاية خاصة لنظام مجموعة شبكة ظاهرية مقترنة.

الشبكة الفرعية. تقسم الشبكات الفرعية الشبكة الافتراضية إلى واحدة أو أكثر من الشبكات الفرعية. تحصل كل شبكة فرعية على جزء من مساحة العنوان، مما يحسن كفاءة تخصيص العناوين. يمكنك تأمين الموارد داخل الشبكات الفرعية باستخدام مجموعات أمان الشبكة. للحصول على مزيٍد من المعلومات، راجع مجموعة أمان الشبكة.

عند تحديد شبكة فرعية لنقطة النهاية الخاصة لنظام المجموعة، تأكد من توفر ما يكفي من عناوين IP الخاصة في تلك الشبكة الفرعية لاحتياجاتك الحالية والمستقبلية.

نقطة النهاية الخاصة. نقطة النهاية الخاصة هي واجهة شبكة تستخدم عنوان IP خاص من شبكة ظاهرية. تتصل واجهة الشبكة هذه بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. تجلب نقاط النهاية الخاصة الخدمات إلى شبكتك الافتراضية.

يؤدي تمكين الوصول الخاص ل Azure Cosmos DB ل PostgreSQL إلى إنشاء نقطة نهاية خاصة لعقدة منسق نظام المجموعة. تسمح نقطة النهاية للمضيفين في الشبكة الافتراضية المحددة بالوصول إلى المنسق. يمكنك اختياريًا إنشاء نقاط نهاية خاصة لعقد العمال أيضًا.

منطقة DNS الخاصة. تحل منطقة DNS الخاصة في Azure أسماء المضيفين داخل شبكة ظاهرية مرتبطة، وداخل أي شبكة ظاهرية نظيرة. يتم إنشاء سجلات المجال للعقد في منطقة DNS خاصة محددة لنظام مجموعتها. تأكد من استخدام أسماء النطاقات المؤهلة بالكامل (FQDN) لسلاسل اتصال PostgreSQL الخاصة بالعقد.

يمكنك استخدام نقاط النهاية الخاصة لمجموعاتك للسماح للمضيفين على شبكة ظاهرية (VNet) بالوصول بأمان إلى البيانات عبر ارتباط خاص.

تستخدم نقطة النهاية الخاصة للمجموعة عنوان IP من مساحة عنوان الشبكة الظاهرية. تنتقل نسبة استخدام الشبكة بين المضيفين على الشبكة الظاهرية والعقد عبر ارتباط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام.

يمكن للتطبيقات في الشبكة الظاهرية الاتصال بالعقد عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس سلاسل الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك.

يمكنك تحديد الوصول الخاص أثناء إنشاء نظام المجموعة، ويمكنك التبديل من الوصول العام إلى الوصول الخاص في أي وقت.

استخدام منطقة DNS خاصة

يتم توفير منطقة DNS خاصة جديدة تلقائيا لكل نقطة نهاية خاصة، ما لم تحدد إحدى مناطق DNS الخاصة التي تم إنشاؤها مسبقا بواسطة Azure Cosmos DB ل PostgreSQL. لمزيد من المعلومات، راجع نظرة عامة على مناطق DNS الخاصة .

تنشئ خدمة Azure Cosmos DB ل PostgreSQL سجلات DNS كما هو الحال c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com في منطقة DNS الخاصة المحددة لكل عقدة بنقطة نهاية خاصة. عند الاتصال بعقدة من جهاز Azure الظاهري عبر نقطة نهاية خاصة، يحل Azure DNS FQDN الخاص بالعقدة إلى عنوان IP خاص.

إعدادات منطقة DNS الخاصة وتنظير الشبكة الظاهرية مستقلان عن بعضهما البعض. إذا كنت تريد الاتصال بعقدة في نظام المجموعة من عميل تم توفيره في شبكة ظاهرية أخرى (من نفس المنطقة أو منطقة مختلفة)، يجب عليك ربط منطقة DNS الخاصة بالشبكة الظاهرية. لمزيد من المعلومات، راجع ارتباط الشبكة الظاهرية.

ملاحظة

كما تقوم الخدمة دائمًا بإنشاء سجلات CNAME عامة مثل c-mygroup01.12345678901234.postgres.cosmos.azure.com لكل عقدة. ومع ذلك، يمكن لأجهزة الكمبيوتر المحددة على الإنترنت العام الاتصال باسم المضيف العام فقط إذا قام مسؤول قاعدة البيانات بتمكين الوصول العام إلى نظام المجموعة.

إذا كنت تستخدم خادم DNS مخصصا، فيجب عليك استخدام معيد توجيه DNS لحل FQDN للعقد. يجب أن يكون عنوان IP الخاص بالمرسل هو 168.63.129.16. يجب أن يكون خادم DNS المخصص داخل الشبكة الظاهرية أو يمكن الوصول إليه عبر إعداد خادم DNS للشبكة الظاهرية. لمعرفة المزيد، راجع دقة الاسم التي تستخدم خادم DNS خاصتك .

التوصيات

عند تمكين الوصول الخاص لنظام المجموعة الخاص بك، ضع في اعتبارك:

  • حجم الشبكة الفرعية: عند تحديد حجم الشبكة الفرعية لنظام مجموعة، ضع في اعتبارك الاحتياجات الحالية مثل عناوين IP للمنسق أو جميع العقد في تلك المجموعة، والاحتياجات المستقبلية مثل نمو تلك المجموعة. تأكد من أن لديك ما يكفي من عناوين IP الخاصة للاحتياجات الحالية والمستقبلية. ضع في اعتبارك أن Azure يحتفظ بخمسة عناوين IP في كل شبكة فرعية. راجع المزيد من التفاصيل في هذه الأسئلة الشائعة.
  • منطقة DNS الخاصة: سيتم الاحتفاظ بسجلات DNS بعناوين IP خاصة بواسطة Azure Cosmos DB لخدمة PostgreSQL. تأكد من عدم حذف منطقة DNS الخاصة المستخدمة للمجموعات.

الحدود والقيود

راجع صفحة حدود وقيود Azure Cosmos DB ل PostgreSQL.

الخطوات التالية