Share via

Privátní přístup ve službě Azure Cosmos DB for PostgreSQL

  • Článek

PLATÍ PRO: Azure Cosmos DB for PostgreSQL (využívá rozšíření databáze Citus na PostgreSQL)

Azure Cosmos DB for PostgreSQL podporuje tři možnosti sítě:

  • Bez přístupu
    • Toto je výchozí nastavení pro nově vytvořený cluster, pokud není povolený veřejný nebo privátní přístup. K databázovým uzlům se nemohou připojit žádné počítače, ať už uvnitř Azure, ani mimo azure.
  • Veřejný přístup
    • Uzlu koordinátoru je přiřazena veřejná IP adresa.
    • Přístup ke koordinačnímu uzlu je chráněný bránou firewall.
    • Volitelně je možné povolit přístup ke všem pracovním uzlům. V tomto případě jsou veřejné IP adresy přiřazeny pracovním uzlům a jsou zabezpečeny stejnou bránou firewall.
  • Privátní přístup
    • Uzlům clusteru se přiřazují jenom privátní IP adresy.
    • Každý uzel vyžaduje privátní koncový bod, který hostitelům ve vybrané virtuální síti umožňuje přístup k uzlům.
    • K řízení přístupu je možné použít funkce zabezpečení virtuálních sítí Azure, jako jsou skupiny zabezpečení sítě.

Při vytváření clusteru můžete povolit veřejný nebo soukromý přístup nebo zvolit výchozí možnost žádný přístup. Po vytvoření clusteru můžete přepínat mezi veřejným nebo privátním přístupem nebo je aktivovat oba najednou.

Tato stránka popisuje možnost privátního přístupu. Veřejný přístup najdete tady.

Definice

Virtuální síť: Azure Virtual Network (VNet) je základním stavebním blokem privátních sítí v Azure. Virtuální sítě umožňují zabezpečené vzájemné komunikaci mnoha typů prostředků Azure, jako jsou databázové servery a virtuální počítače Azure Virtual Machines. Virtuální sítě podporují místní připojení, umožňují hostitelům ve více virtuálních sítích vzájemně komunikovat prostřednictvím peeringu a poskytují další výhody škálování, možností zabezpečení a izolace. Každý privátní koncový bod pro cluster vyžaduje přidruženou virtuální síť.

Podsíť. Podsítě segmentují virtuální síť do jedné nebo více podsítí. Každá práce v podsíti získá část adresního prostoru, což zlepšuje efektivitu přidělování adres. Prostředky v rámci podsítí můžete zabezpečit pomocí skupin zabezpečení sítě. Další informace najdete v tématu Skupiny zabezpečení sítě.

Když vyberete podsíť pro privátní koncový bod clusteru, ujistěte se, že je v této podsíti k dispozici dostatek privátních IP adres pro vaše aktuální a budoucí potřeby.

Privátní koncový bod. Privátní koncový bod je síťové rozhraní, které používá privátní IP adresu z virtuální sítě. Toto síťové rozhraní se soukromě a bezpečně připojuje ke službě využívající Azure Private Link. Privátní koncové body přenesou služby do vaší virtuální sítě.

Povolením privátního přístupu pro Azure Cosmos DB for PostgreSQL se vytvoří privátní koncový bod pro koordinační uzel clusteru. Koncový bod umožňuje hostitelům ve vybrané virtuální síti přístup ke koordinátoru. Volitelně můžete vytvořit privátní koncové body také pro pracovní uzly.

Privátní DNS zónu. Zóna privátního DNS Azure překládá názvy hostitelů v rámci propojené virtuální sítě a v rámci jakékoli partnerské virtuální sítě. Záznamy domény pro uzly se vytvářejí v privátní zóně DNS vybrané pro jejich cluster. Nezapomeňte použít plně kvalifikované názvy domén (FQDN) pro připojovací řetězce PostgreSQL uzlů.

Pro clustery můžete použít privátní koncové body, které hostitelům ve virtuální síti umožní zabezpečený přístup k datům přes Private Link.

Privátní koncový bod clusteru používá IP adresu z adresního prostoru virtuální sítě. Provoz mezi hostiteli ve virtuální síti a uzly prochází přes privátní propojení v páteřní síti Microsoftu, čímž se eliminuje vystavení veřejnému internetu.

Aplikace ve virtuální síti se můžou bez problémů připojit k uzlům přes privátní koncový bod pomocí stejných připojovacích řetězců a autorizačních mechanismů, které by jinak používaly.

Během vytváření clusteru můžete vybrat privátní přístup a kdykoli můžete přepnout z veřejného přístupu na privátní přístup.

Použití privátní zóny DNS

Pro každý privátní koncový bod se automaticky zřídí nová zóna privátního DNS, pokud nevyberete některou ze zón privátního DNS, které dříve vytvořila služba Azure Cosmos DB for PostgreSQL. Další informace najdete v přehledu privátních zón DNS.

Služba Azure Cosmos DB for PostgreSQL vytvoří záznamy DNS, například c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com ve vybrané privátní zóně DNS pro každý uzel s privátním koncovým bodem. Když se připojíte k uzlu z virtuálního počítače Azure přes privátní koncový bod, Azure DNS přeloží plně kvalifikovaný název domény uzlu na privátní IP adresu.

Privátní DNS nastavení zóny a partnerský vztah virtuálních sítí jsou na sobě nezávislé. Pokud se chcete připojit k uzlu v clusteru z klienta, který je zřízený v jiné virtuální síti (ze stejné nebo jiné oblasti), musíte propojit privátní zónu DNS s virtuální sítí. Další informace najdete v tématu Propojení virtuální sítě.

Poznámka

Služba také vždy vytvoří veřejné záznamy CNAME, například c-mygroup01.12345678901234.postgres.cosmos.azure.com pro každý uzel. Vybrané počítače na veřejném internetu se však můžou připojit k veřejnému názvu hostitele pouze v případě, že správce databáze povolí veřejný přístup ke clusteru.

Pokud používáte vlastní server DNS, musíte k překladu plně kvalifikovaného názvu domény uzlů použít nástroj pro předávání DNS. IP adresa serveru pro předávání by měla být 168.63.129.16. Vlastní server DNS by měl být uvnitř virtuální sítě nebo by měl být dostupný prostřednictvím nastavení serveru DNS virtuální sítě. Další informace najdete v tématu Překlad názvů, který používá váš vlastní server DNS.

Doporučení

Když pro cluster povolíte privátní přístup, zvažte následující:

  • Velikost podsítě: Při výběru velikosti podsítě pro cluster zvažte aktuální potřeby, například IP adresy pro koordinátora nebo všechny uzly v tomto clusteru, a budoucí potřeby, jako je růst tohoto clusteru. Ujistěte se, že máte dostatek privátních IP adres pro aktuální a budoucí potřeby. Mějte na paměti, že Azure si v každé podsíti vyhrazuje pět IP adres. Další podrobnosti najdete v těchto nejčastějších dotazech.
  • Privátní DNS zóna: Záznamy DNS s privátními IP adresami bude spravovat služba Azure Cosmos DB for PostgreSQL. Ujistěte se, že neodstraníte privátní zónu DNS používanou pro clustery.

Omezení

Podívejte se na stránku Omezení a omezení služby Azure Cosmos DB for PostgreSQL.

Další kroky