Privátní přístup ve službě Azure Cosmos DB for PostgreSQL

PLATÍ PRO: Azure Cosmos DB for PostgreSQL (využívající rozšíření databáze Citus do PostgreSQL)

Azure Cosmos DB for PostgreSQL podporuje tři možnosti sítě:

• Žádný přístup
  • Toto je výchozí nastavení pro nově vytvořený cluster, pokud není povolený veřejný nebo privátní přístup. K databázovým uzlům se nemůžou připojit žádné počítače, ať už uvnitř Nebo mimo Azure.
• Veřejný přístup
  • K koordinačnímu uzlu se přiřadí veřejná IP adresa.
  • Přístup k koordinačnímu uzlu je chráněný bránou firewall.
  • Volitelně můžete povolit přístup ke všem pracovním uzlům. V tomto případě jsou veřejné IP adresy přiřazeny k pracovním uzlům a jsou zabezpečené stejnou bránou firewall.
• Privátní přístup
  • Uzly clusteru se přiřazují jenom privátní IP adresy.
  • Každý uzel vyžaduje privátní koncový bod, který umožňuje hostitelům ve vybrané virtuální síti přístup k uzlům.
  • Funkce zabezpečení virtuálních sítí Azure, jako jsou skupiny zabezpečení sítě, se dají použít k řízení přístupu.

Při vytváření clusteru můžete povolit veřejný nebo privátní přístup nebo zvolit výchozí hodnotu bez přístupu. Po vytvoření clusteru můžete přepínat mezi veřejným nebo privátním přístupem nebo je aktivovat najednou.

Tato stránka popisuje možnost privátního přístupu. Informace o veřejném přístupu najdete tady.

Definice

Virtuální síť: Základní stavební blok pro privátní sítě v Azure je virtuální síť Azure. Virtuální sítě umožňují bezpečnou komunikaci mezi sebou mnoha typy prostředků Azure, jako jsou databázové servery a virtuální počítače Azure. Virtuální sítě podporují místní připojení, umožňují hostitelům ve více virtuálních sítích vzájemně komunikovat prostřednictvím partnerského vztahu a poskytují další výhody škálování, možností zabezpečení a izolace. Každý privátní koncový bod clusteru vyžaduje přidruženou virtuální síť.

Podsíť. Podsítě segmentují virtuální síť do jedné nebo více podsítí. Každá podsíť získá část adresního prostoru, což zlepšuje efektivitu přidělování adres. Prostředky v podsítích můžete zabezpečit pomocí skupin zabezpečení sítě. Další informace najdete v tématu Skupiny zabezpečení sítě.

Když vyberete podsíť pro privátní koncový bod clusteru, ujistěte se, že je v této podsíti k dispozici dostatek privátních IP adres pro vaše aktuální a budoucí potřeby.

Privátní koncový bod. Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z virtuální sítě. Toto síťové rozhraní se soukromě a bezpečně připojuje ke službě využívající Azure Private Link. Privátní koncové body přinesou služby do vaší virtuální sítě.

Povolení privátního přístupu pro Službu Azure Cosmos DB for PostgreSQL vytvoří privátní koncový bod pro koordinační uzel clusteru. Koncový bod umožňuje hostitelům ve vybrané virtuální síti přístup ke koordinátoru. Volitelně můžete také vytvořit privátní koncové body pro pracovní uzly.

Privátní DNS zóny. Privátní zóna DNS Azure překládá názvy hostitelů v rámci propojené virtuální sítě a v rámci jakékoli partnerské virtuální sítě. Záznamy domény pro uzly se vytvářejí v privátní zóně DNS vybrané pro jejich cluster. Ujistěte se, že pro připojovací řetězec PostgreSQL uzlů používáte plně kvalifikované názvy domén (FQDN).

Privátní propojení

Privátní koncové body pro vaše clustery můžete použít k tomu, aby hostitelé ve virtuální síti (VNet) mohli bezpečně přistupovat k datům přes Private Link.

Privátní koncový bod clusteru používá IP adresu z adresního prostoru virtuální sítě. Provoz mezi hostiteli ve virtuální síti a uzly prochází přes privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení veřejnému internetu.

Aplikace ve virtuální síti se můžou bezproblémově připojit k uzlům přes privátní koncový bod pomocí stejných připojovací řetězec a autorizačních mechanismů, které by jinak používaly.

Během vytváření clusteru můžete vybrat privátní přístup a v libovolném okamžiku můžete přepnout z veřejného přístupu na privátní přístup.

Použití privátní zóny DNS

Pro každý privátní koncový bod se automaticky zřídí nová privátní zóna DNS, pokud nevyberete některou z zón privátních DNS vytvořených službou Azure Cosmos DB for PostgreSQL. Další informace najdete v přehledu privátních zón DNS.

Služba Azure Cosmos DB for PostgreSQL vytvoří záznamy DNS, například c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com ve vybrané privátní zóně DNS pro každý uzel s privátním koncovým bodem. Když se připojíte k uzlu z virtuálního počítače Azure přes privátní koncový bod, Azure DNS přeloží plně kvalifikovaný název domény uzlu na privátní IP adresu.

Privátní DNS nastavení zóny a partnerský vztah virtuálních sítí jsou navzájem nezávislé. Pokud se chcete připojit k uzlu v clusteru z klienta zřízeného v jiné virtuální síti (ze stejné oblasti nebo jiné oblasti), musíte propojit privátní zónu DNS s virtuální sítí. Další informace najdete v tématu Propojení virtuální sítě.

Poznámka:

Služba také vždy vytváří veřejné záznamy CNAME, například c-mygroup01.12345678901234.postgres.cosmos.azure.com pro každý uzel. Vybrané počítače na veřejném internetu se ale můžou připojit k veřejnému názvu hostitele jenom v případě, že správce databáze povolí veřejný přístup ke clusteru.

Pokud používáte vlastní server DNS, musíte k překladu plně kvalifikovaného názvu domény uzlů použít předávací nástroj DNS. IP adresa služby předávání by měla být 168.63.129.16. Vlastní server DNS by měl být uvnitř virtuální sítě nebo dosažitelný prostřednictvím nastavení serveru DNS virtuální sítě. Další informace najdete v tématu Překlad názvů, který používá váš vlastní server DNS.

Doporučení

Pokud povolíte privátní přístup pro váš cluster, zvažte následující:

• Velikost podsítě: Při výběru velikosti podsítě pro cluster zvažte aktuální potřeby, například IP adresy pro koordinátora nebo všechny uzly v tomto clusteru, a budoucí potřeby, například růst tohoto clusteru.

  Ujistěte se, že máte dostatek privátních IP adres pro aktuální a budoucí potřeby. Mějte na paměti, že Azure si v každé podsíti vyhrazuje pět IP adres.

  Další podrobnosti najdete v těchto nejčastějších dotazech.

• Privátní DNS zóna: Služba Azure Cosmos DB for PostgreSQL bude udržovat záznamy DNS s privátními IP adresami. Ujistěte se, že neodstraníte privátní zónu DNS používanou pro clustery.

Omezení

Podívejte se na stránku omezení a omezení služby Azure Cosmos DB for PostgreSQL.

Další kroky

• Zjistěte, jak povolit a spravovat privátní přístup.
• Pokud chcete zobrazit privátní přístup v akci, postupujte podle kurzu.
• Informace o privátních koncových bodech
• Informace o virtuálních sítích
• Informace o privátních zónách DNS