Partage via


Accès privé dans Azure Cosmos DB for PostgreSQL

S’APPLIQUE À : Azure Cosmos DB for PostgreSQL (avec l’extension de base de données Citus pour PostgreSQL)

Azure Cosmos DB for PostgreSQL prend en charge trois options de mise en réseau :

  • Aucun accès
    • Il s’agit de la valeur par défaut d’un cluster qui vient d’être créé si l’accès public ou privé n’est pas activé. Aucun ordinateur (que ce soit à l’intérieur ou à l’extérieur d’Azure) ne peut se connecter aux nœuds de base de données.
  • Accès public
    • Une adresse IP publique est affectée au nœud coordinateur.
    • L’accès au nœud coordinateur est protégé par un pare-feu.
    • En option, l’accès à tous les nœuds Worker peut être activé. Dans ce cas, les adresses IP publiques sont attribuées aux nœuds Worker et sont sécurisées par le même pare-feu.
  • Accès privé
    • Seules des adresses IP privées sont affectées aux nœuds du cluster.
    • Chaque nœud nécessite un point de terminaison privé pour permettre aux hôtes du réseau virtuel sélectionné d’accéder aux nœuds.
    • Les fonctionnalités de sécurité des réseaux virtuels Azure, tels que les groupes de sécurité réseau, peuvent être utilisées pour le contrôle d’accès.

Lorsque vous créez un cluster, vous pouvez autoriser l’accès public ou privé, ou opter pour la valeur par défaut (aucun accès). Une fois le cluster créé, vous pouvez choisir de basculer entre l’accès public ou privé, ou de les activer tous les deux en même temps.

Cette page décrit l’option d’accès privé. Pour l’accès public, consultez cette page.

Définitions

Réseau virtuel. Un réseau virtuel Azure (VNet) est le composant principal fondamental pour les réseaux privés dans Azure. Les réseaux virtuels permettent à de nombreux types de ressources Azure, comme des serveurs de bases de données et des machines virtuelles Azure, de communiquer en toute sécurité entre elles. Les réseaux virtuels prennent en charge les connexions locales, permettent aux hôtes dans plusieurs réseaux virtuels d’interagir entre eux par le biais du peering et offrent des avantages supplémentaires en matière de scalabilité, d’options de sécurité et d’isolation. Chaque point de terminaison privé pour un cluster requiert un réseau virtuel associé.

Sous-réseau. Les sous-réseaux segmentent un réseau virtuel en un ou plusieurs réseaux secondaires. Chaque réseau secondaire obtient une partie de l’espace d’adressage, ce qui améliore l’efficacité de l’allocation des adresses. Vous pouvez sécuriser des ressources au sein de sous-réseaux à l’aide de Groupes de sécurité réseau. Pour plus d’informations, consultez Groupes de sécurité réseau.

Lorsque vous sélectionnez un sous-réseau pour un point de terminaison privé de cluster, assurez-vous que les adresses IP privées disponibles dans ce sous-réseau sont suffisantes pour répondre à vos besoins actuels et futurs.

Point de terminaison privé. Un point de terminaison privé est une interface réseau qui utilise une adresse IP privée d’un réseau virtuel. Cette interface réseau se connecte de manière privée et sécurisée à un service basé sur Azure Private Link. Les points de terminaison privés placent les services dans votre réseau virtuel.

L’activation de l’accès privé pour Azure Cosmos DB for PostgreSQL crée un point de terminaison privé pour le nœud coordinateur du cluster. Le point de terminaison permet aux hôtes dans le réseau virtuel sélectionné d’accéder au coordinateur. Vous pouvez également créer des points de terminaison privés pour les nœuds Worker si vous le souhaitez.

Zone DNS privée. Une zone DNS privée Azure résout les noms d’hôte au sein d’un réseau virtuel lié et au sein d’un réseau virtuel appairé. Les enregistrements de domaine pour les nœuds sont créés dans une zone DNS privée sélectionnée pour leur cluster. Veillez à utiliser des noms de domaine complets (FQDN) pour les chaînes de connexion PostgreSQL des nœuds.

Vous pouvez utiliser des points de terminaison privés pour votre cluster afin de permettre à des hôtes sur un réseau virtuel (VNet) d’accéder en toute sécurité aux données via une Liaison privée.

Le point de terminaison privé du cluster utilise une adresse IP issue de l’espace d’adressage du réseau virtuel. Le trafic entre les hôtes sur le réseau virtuel et les nœuds passe par une liaison privée sur le réseau principal Microsoft, ce qui élimine l’exposition à l’Internet public.

Les applications du réseau virtuel peuvent se connecter aux nœuds sur le point de terminaison privé de manière fluide, à l’aide des mêmes chaînes de connexion et mécanismes d’autorisation qu’ils utilisent dans tous les cas.

Vous pouvez sélectionner l’accès privé lors de la création d’un cluster, et passer de l’accès public à l’accès privé à tout moment.

Utilisation d’une zone DNS privée

Une nouvelle zone DNS privée est automatiquement provisionnée pour chaque point de terminaison privé, sauf si vous sélectionnez l’une des zones DNS privées créées précédemment par Azure Cosmos DB for PostgreSQL. Pour plus d’informations, consultez la présentation des zones DNS privées.

Le service Azure Cosmos DB for PostgreSQL crée des enregistrements DNS tels que c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com dans la zone DNS privée sélectionnée pour chaque nœud avec un point de terminaison privé. Quand vous vous connectez à un nœud à partir d’une machine virtuelle Azure via un point de terminaison privé, Azure DNS résout le nom de domaine complet du nœud en une adresse IP privée.

Les paramètres de zone DNS privée et l’appairage de réseaux virtuels sont indépendants les uns des autres. Si vous voulez vous connecter à un nœud dans le cluster à partir d’un client provisionné dans un autre réseau virtuel (dans la même région ou une autre région), vous devez lier la zone DNS privée au réseau virtuel. Pour plus d’informations, consultez Lier le réseau virtuel.

Notes

Le service crée également des enregistrements CNAME publics, tels que c-mygroup01.12345678901234.postgres.cosmos.azure.com pour chaque nœud. Toutefois, les ordinateurs sélectionnés sur l’Internet public ne peuvent se connecter au nom d’hôte public que si l’administrateur de la base de données autorise un accès public au cluster.

Si vous utilisez un serveur DNS personnalisé, vous devez utiliser un redirecteur DNS pour résoudre le nom de domaine complet des nœuds. L’adresse IP du redirecteur doit être 168.63.129.16. Le serveur DNS personnalisé doit se trouver à l’intérieur du réseau virtuel ou être accessible via le paramètre de serveur DNS du réseau virtuel. Pour en savoir plus, consultez Résolution de noms utilisant votre propre serveur DNS.

Recommandations

Lorsque vous activez l’accès privé pour votre cluster, prenez en compte les aspects suivants :

  • Taille du sous-réseau : lors de la sélection de la taille du sous-réseau pour un cluster, prenez en compte les besoins actuels, comme les adresses IP pour le coordinateur ou tous les nœuds de ce cluster, et les besoins futurs, comme la croissance de ce cluster.

    Assurez-vous que vous avez suffisamment d’adresses IP privées pour les besoins actuels et futurs. N’oubliez pas, Azure réserve cinq adresses IP dans chaque sous-réseau.

    Vous trouverez plus de détails sur cette page (FAQ).

  • Zone DNS privée : les enregistrements DNS avec des adresses IP privées vont être gérés par le service Azure Cosmos DB for PostgreSQL. Veillez à ne pas supprimer la zone DNS privée utilisée pour les clusters.

Limites et limitations

Consultez la page des limites et limitations d’Azure Cosmos DB for PostgreSQL.

Étapes suivantes