Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Azure Cosmos DB for PostgreSQL se už pro nové projekty nepodporuje. Tuto službu nepoužívejte pro nové projekty. Místo toho použijte jednu z těchto dvou služeb:
Azure Cosmos DB for NoSQL můžete použít pro distribuované databázové řešení navržené pro vysoce škálovatelné scénáře s 99,999% smlouvou o úrovni služeb (SLA), okamžitým automatickým škálováním a automatickým převzetím služeb při selhání napříč několika oblastmi.
Použijte funkci Elastic Clusters služby Azure Database for PostgreSQL pro horizontálně dělené PostgreSQL pomocí opensourcového rozšíření Citus.
Koordinační uzel vyžaduje, aby se klientské aplikace připojily pomocí protokolu TLS (Transport Layer Security). Vynucení protokolu TLS mezi databázovým serverem a klientskými aplikacemi pomáhá udržet data při přenosu důvěrná. Další nastavení ověření popsané níže také chrání před útoky typu "man-in-the-middle".
Vynucení připojení TLS
Aplikace používají k identifikaci cílové databáze a nastavení připojení "připojovací řetězec". Různí klienti vyžadují různá nastavení. Seznam připojovací řetězec používaných běžnými klienty najdete v části Připojovací řetězce pro váš cluster na webu Azure Portal.
Parametry protokolu TLS ssl a sslmode se liší podle možností konektoru, například ssl=true, sslmode=require nebo sslmode=required.
Ujistěte se, že vaše aplikace nebo architektura podporuje připojení TLS.
Některé aplikační architektury ve výchozím nastavení nepovolují protokol TLS pro připojení PostgreSQL. Bez zabezpečeného připojení se ale aplikace nemůže připojit k koordinačnímu uzlu. V dokumentaci vaší aplikace se dozvíte, jak povolit připojení TLS.
Aplikace, které vyžadují ověření certifikátu pro připojení tls
V některých případech aplikace vyžadují k zabezpečenému připojení místní soubor certifikátu vygenerovaný ze souboru certifikátu důvěryhodné certifikační autority .cer (CA). Certifikát pro připojení ke službě Azure Cosmos DB for PostgreSQL se nachází na https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pemadrese . Stáhněte si soubor certifikátu a uložte ho do upřednostňovaného umístění.
Poznámka:
Pokud chcete ověřit pravost certifikátu, můžete pomocí nástroje příkazového řádku OpenSSL ověřit jeho otisk SHA-256:
openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint
# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F
Připojení pomocí psql
Následující příklad ukazuje, jak se připojit k koordinačnímu uzlu pomocí nástroje příkazového řádku psql. Použijte nastavení řetězce připojení sslmode=verify-full k vynucení ověření certifikátu TLS. Předejte do parametru sslrootcert cestu k souboru místního certifikátu.
Níže je příklad připojovacího řetězce psql.
psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"
Návod
Ověřte, že hodnota předaná parametru sslrootcert odpovídá cestě k souboru uloženého certifikátu.
Poznámka:
Pro heslo použijte heslo pro připojení nebo token MICROSOFT Entra ID. Další informace najdete v tématu Možnosti ověřování.
Další kroky
Zvyšte zabezpečení ještě více pomocí pravidel brány firewall ve službě Azure Cosmos DB for PostgreSQL.