Acceso privado en Azure Cosmos DB for PostgreSQL

SE APLICA A: Azure Cosmos DB for PostgreSQL (con tecnología de la extensión de base de datos de Citus en PostgreSQL)

Azure Cosmos DB for PostgreSQL admite tres opciones de red:

• Sin acceso
  • Es el valor predeterminado de un clúster creado recientemente si el acceso público o privado no está habilitado. Ningún equipo, ya sea dentro o fuera de Azure, puede conectarse a los nodos de base de datos.
• Acceso público
  • Se asigna una dirección IP pública al nodo de coordinación.
  • El acceso al nodo de coordinación se protege mediante el firewall.
  • Opcionalmente, se puede habilitar el acceso a todos los nodos de trabajo. En este caso, las direcciones IP públicas se asignan a los nodos de trabajo y se protegen mediante el mismo firewall.
• Acceso privado
  • Solo las direcciones IP privadas se asignan a los nodos del clúster.
  • Cada nodo requiere un punto de conexión privado para permitir que los hosts de la red virtual seleccionada accedan a los nodos.
  • Las características de seguridad de las redes virtuales de Azure, como los grupos de seguridad de red, se pueden usar para el control de acceso.

Al crear un clúster, puede habilitar el acceso público o privado u optar por el valor predeterminado Sin acceso. Una vez creado el clúster, puede elegir cambiar entre el acceso público o privado, o activar ambos a la vez.

En esta página, se describe la opción de acceso privado. Para el acceso público, consulte aquí.

Definiciones

Red virtual. Una red virtual (VNet) de Azure es el bloque de creación fundamental de las redes privadas en Azure. Las redes virtuales permiten a muchos tipos de recursos de Azure, como servidores de bases de datos y máquinas virtuales de Azure, comunicarse de forma segura entre ellos. Las redes virtuales admiten conexiones locales, permiten que los hosts de varias redes virtuales interactúen entre sí mediante el emparejamiento y proporcionan ventajas adicionales de escala, opciones de seguridad y aislamiento. Cada punto de conexión privado de un clúster requiere una red virtual asociada.

Subred. Las subredes segmentan una red virtual en una o varias redes secundarias. Cada subred obtiene una parte del espacio de direcciones, lo que mejora la eficacia de la asignación de direcciones. Puede proteger los recursos dentro de las subredes mediante grupos de seguridad de red. Para más información, consulteGrupo de seguridad de red.

Al seleccionar una subred para el punto de conexión privado de un clúster, asegúrese de que haya suficientes direcciones IP privadas disponibles en esa subred para las necesidades actuales y futuras.

Punto de conexión privado. Un punto de conexión privado es una interfaz de red que usa una dirección IP privada de una red virtual. Esta interfaz de red se conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. Los puntos de conexión privados traen los servicios a la red virtual.

Al habilitar el acceso privado para Azure Cosmos DB for PostgreSQL, se crea un punto de conexión privado para el nodo de coordinación del clúster. El punto de conexión permite que los hosts de la red virtual seleccionada accedan al coordinador. Opcionalmente, también puede crear puntos de conexión privados para nodos de trabajo.

Zona DNS privada. Una zona DNS privada de Azure resuelve los nombres de host dentro de una red virtual vinculada y dentro de cualquier red virtual emparejada. Los registros de dominio de los nodos se crean en una zona DNS privada seleccionada para el clúster. Asegúrese de usar nombres de dominio completos (FQDN) para las cadenas de conexión de PostgreSQL de los nodos.

Private Link

El uso de puntos de conexión privados en los clústeres permitirá que los hosts de una red virtual (VNet) accedan a datos de manera segura mediante una instancia de Private Link.

El punto de conexión privado del clúster usa una dirección IP del espacio de direcciones de la red virtual. El tráfico entre los hosts de la red virtual y los nodos pasa por un vínculo privado de la red troncal de Microsoft, lo que elimina la exposición a la red pública de Internet.

Las aplicaciones de la red virtual se pueden conectar a los nodos mediante el punto de conexión privado sin problemas, con las mismas cadenas de conexión y mecanismos de autorización que usarían en cualquier otro caso.

Puede seleccionar el acceso privado durante la creación del clúster y puede cambiar del acceso público al acceso privado en cualquier momento.

Uso de una zona DNS privada

Se aprovisiona automáticamente una zona DNS privada nueva para cada punto de conexión privado, a menos que seleccione una de las zonas DNS privadas creadas previamente por Azure Cosmos DB for PostgreSQL. Para más información, vea la información general sobre las zonas DNS privadas.

El servicio Azure Cosmos DB for PostgreSQL crea registros DNS, como c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com, en la zona DNS privada seleccionada para cada nodo con un punto de conexión privado. Cuando se conecta a un nodo desde una máquina virtual de Azure mediante un punto de conexión privado, Azure DNS resuelve el FQDN del nodo en una dirección IP privada.

La configuración de la zona DNS privada y el emparejamiento de red virtual son independientes entre sí. Si desea conectarse a un nodo del clúster desde un cliente aprovisionado en otra red virtual (de la misma región o de otra región), debe vincular la zona DNS privada con la red virtual. Para más información, vea Vincular la red virtual.

Nota

El servicio también siempre crea registros CNAME públicos, como c-mygroup01.12345678901234.postgres.cosmos.azure.com, para cada nodo. Sin embargo, los equipos seleccionados de la red pública de Internet solo pueden conectarse al nombre de host público si el administrador de la base de datos habilita el acceso público al clúster.

Si usa un servidor DNS personalizado, debe usar un reenviador DNS para resolver el FQDN de los nodos. La dirección IP del reenviador debe ser 168.63.129.16. El servidor DNS personalizado debe estar dentro de la red virtual o bien debe poder accederse a él a través de la configuración del servidor DNS de la red virtual. Para más información, vea Resolución de nombres con su propio servidor DNS.

Recomendaciones

Cuando habilite el acceso privado para el clúster, considere lo siguiente:

• Tamaño de subred: al seleccionar el tamaño de subred para un clúster, tenga en cuenta las necesidades actuales, como las direcciones IP para el coordinador y todos los nodos de ese clúster, y las necesidades futuras, como el crecimiento de ese clúster. Asegúrese de tener suficientes direcciones IP privadas para las necesidades actuales y futuras. Tenga en cuenta que Azure reserva cinco direcciones IP en cada subred. Consulte más detalles en esta sección de preguntas más frecuentes.
• Zona DNS privada: el servicio Azure Cosmos DB for PostgreSQL mantendrá los registros DNS con direcciones IP privadas. Asegúrese de no eliminar la zona DNS privada que se usa para los clústeres.

Límites y limitaciones

Consulte la página Límites y limitaciones de Azure Cosmos DB for PostgreSQL.

Pasos siguientes

• Aprenda a habilitar y administrar el acceso privado.
• Siga un tutorial para ver el acceso privado en acción.
• Obtenga información sobre los puntos de conexión privados.
• Más información sobre las redes virtuales
• Obtenga información sobre las zonas DNS privadas.