Megosztás a következőn keresztül:

Privát hozzáférés az Azure Cosmos DB for PostgreSQL-ben

  • Cikk

A KÖVETKEZŐKRE VONATKOZIK: Azure Cosmos DB for PostgreSQL (a Citus adatbázisbővítménye a PostgreSQL-re)

Az Azure Cosmos DB for PostgreSQL három hálózati lehetőséget támogat:

  • Nincs hozzáférés
    • Ez az újonnan létrehozott fürt alapértelmezett értéke, ha a nyilvános vagy a privát hozzáférés nincs engedélyezve. Az adatbáziscsomópontokhoz egyetlen számítógép sem tud csatlakozni, akár az Azure-on belül, akár azon kívül.
  • Nyilvános hozzáférés
    • A koordinátor csomóponthoz nyilvános IP-cím van hozzárendelve.
    • A koordinátor csomóponthoz való hozzáférést tűzfal védi.
    • Opcionálisan az összes feldolgozó csomóponthoz való hozzáférés engedélyezhető. Ebben az esetben a nyilvános IP-címek a feldolgozó csomópontokhoz vannak rendelve, és ugyanazzal a tűzfallal vannak védve.
  • Privát hozzáférés
    • Csak a privát IP-címek vannak hozzárendelve a fürt csomópontjaihoz.
    • Minden csomóponthoz szükség van egy privát végpontra, hogy a kijelölt virtuális hálózat gazdagépei elérhessék a csomópontokat.
    • Az Azure-beli virtuális hálózatok, például a hálózati biztonsági csoportok biztonsági funkciói használhatók a hozzáférés-vezérléshez.

Fürt létrehozásakor engedélyezheti a nyilvános vagy a privát hozzáférést, vagy választhatja a hozzáférés nélküli alapértelmezett beállítást. A fürt létrehozása után dönthet úgy, hogy a nyilvános vagy a privát hozzáférés között vált, vagy mindkettőt egyszerre aktiválja.

Ez a lap a privát hozzáférés lehetőségét ismerteti. A nyilvános hozzáférésről itt olvashat.

Definíciók

Virtuális hálózat. Az Azure Virtual Network (VNet) az Azure-beli privát hálózatkezelés alapvető építőeleme. A virtuális hálózatok számos típusú Azure-erőforrást tesznek lehetővé, például adatbázis-kiszolgálókat és Azure-beli virtuális gépeket (VM) az egymással való biztonságos kommunikációhoz. A virtuális hálózatok támogatják a helyszíni kapcsolatokat, lehetővé teszik, hogy több virtuális hálózat gazdagépei társviszony-létesítéssel kommunikáljanak egymással, és további előnyöket nyújtsanak a méretezés, a biztonsági lehetőségek és az elkülönítés terén. A fürt minden privát végpontja egy társított virtuális hálózatot igényel.

Alhálózat. Az alhálózatok egy virtuális hálózatot egy vagy több alhálózatra szegmentáltak. Minden alhálózat megkapja a címtér egy részét, ami javítja a címfoglalás hatékonyságát. Az alhálózatokon belüli erőforrásokat hálózati biztonsági csoportok használatával is biztonságossá teheti. További információ: Hálózati biztonsági csoportok.

Amikor kiválaszt egy alhálózatot a fürt privát végpontjához, győződjön meg arról, hogy elegendő privát IP-cím érhető el az alhálózatban a jelenlegi és a jövőbeli igényekhez.

Privát végpont. A privát végpontok olyan hálózati adapterek, amelyek egy virtuális hálózatból származó privát IP-címet használnak. Ez a hálózati adapter privátan és biztonságosan csatlakozik egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpontok beviszik a szolgáltatásokat a virtuális hálózatba.

Ha engedélyezi a privát hozzáférést az Azure Cosmos DB for PostgreSQL-hez, privát végpontot hoz létre a fürt koordinátor csomópontja számára. A végpont lehetővé teszi, hogy a kiválasztott virtuális hálózaton lévő gazdagépek elérhessék a koordinátort. A feldolgozó csomópontokhoz is létrehozhat privát végpontokat.

saját DNS zóna. Egy Azure-beli privát DNS-zóna feloldja a gazdagépneveket egy társított virtuális hálózaton belül és bármely társhálózaton belül. A csomópontok tartományrekordjai a fürthöz kiválasztott privát DNS-zónában jönnek létre. Ügyeljen arra, hogy teljes tartományneveket (FQDN) használjon a csomópontok PostgreSQL-kapcsolati sztring.

A fürtök privát végpontjaival engedélyezheti, hogy a virtuális hálózaton (VNet) lévő gazdagépek biztonságosan hozzáférjenek az adatokhoz privát kapcsolaton keresztül.

A fürt privát végpontja a virtuális hálózat címteréből származó IP-címet használ. A virtuális hálózaton lévő gazdagépek és csomópontok közötti forgalom a Microsoft gerinchálózatán található privát kapcsolaton halad át, így megszűnik a nyilvános internetnek való kitettség.

A virtuális hálózaton lévő alkalmazások zökkenőmentesen csatlakozhatnak a csomópontokhoz a privát végponton keresztül ugyanazokkal a kapcsolati sztring és engedélyezési mechanizmusokkal, amelyeket egyébként használnának.

A fürt létrehozása során kiválaszthatja a privát hozzáférést, és bármikor átválthat a nyilvános hozzáférésről a privát hozzáférésre.

Privát DNS-zóna használata

Minden privát végponthoz automatikusan létrejön egy új privát DNS-zóna, hacsak nem választ egyet az Azure Cosmos DB for PostgreSQL által korábban létrehozott privát DNS-zónák közül. További információkért tekintse meg a privát DNS-zónák áttekintését.

Az Azure Cosmos DB for PostgreSQL szolgáltatás dns-rekordokat hoz létre, például c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com a kiválasztott privát DNS-zónában minden privát végponttal rendelkező csomóponthoz. Amikor egy Azure-beli virtuális gépről privát végponton keresztül csatlakozik egy csomóponthoz, az Azure DNS a csomópont teljes tartománynevét egy privát IP-címre oldja fel.

saját DNS zónabeállítások és a virtuális hálózatok közötti társviszony-létesítés független egymástól. Ha egy másik virtuális hálózaton kiépített ügyfélből (ugyanabból a régióból vagy egy másik régióból) szeretne csatlakozni a fürt egyik csomópontjára, a privát DNS-zónát össze kell kapcsolnia a virtuális hálózattal. További információ: A virtuális hálózat összekapcsolása.

Feljegyzés

A szolgáltatás mindig létrehoz nyilvános CNAME rekordokat, például c-mygroup01.12345678901234.postgres.cosmos.azure.com minden csomóponthoz. A nyilvános interneten kiválasztott számítógépek azonban csak akkor tudnak csatlakozni a nyilvános állomásnévhez, ha az adatbázis-rendszergazda engedélyezi a fürthöz való nyilvános hozzáférést .

Ha egyéni DNS-kiszolgálót használ, a csomópontok teljes tartománynevének feloldásához DNS-továbbítót kell használnia. A továbbító IP-címének 168.63.129.16-osnak kell lennie. Az egyéni DNS-kiszolgálónak a virtuális hálózaton belül kell lennie, vagy elérhetőnek kell lennie a virtuális hálózat DNS-kiszolgálóbeállításán keresztül. További információ: Saját DNS-kiszolgálót használó névfeloldás.

Ajánlások

Ha engedélyezi a privát hozzáférést a fürthöz, fontolja meg a következő szempontokat:

  • Alhálózat mérete: Ha egy fürt alhálózatméretét választja ki, vegye figyelembe az aktuális igényeket, például a koordinátor IP-címét vagy a fürt összes csomópontját, valamint a jövőbeli igényeket, például a fürt növekedését.

    Győződjön meg arról, hogy elegendő privát IP-címmel rendelkezik a jelenlegi és a jövőbeli igényekhez. Ne feledje, hogy az Azure minden alhálózatban öt IP-címet foglal le.

    További részleteket ebben a GYIK-ben talál.

  • saját DNS zóna: A privát IP-címmel rendelkező DNS-rekordokat az Azure Cosmos DB for PostgreSQL szolgáltatás fogja kezelni. Győződjön meg arról, hogy nem törli a fürtökhöz használt privát DNS-zónát.

Korlátok és korlátozások

Tekintse meg az Azure Cosmos DB for PostgreSQL korlátait és korlátozásait ismertető oldalt.

Következő lépések

  • Megtudhatja, hogyan engedélyezheti és kezelheti a privát hozzáférést
  • Kövesse az oktatóanyagot a privát hozzáférés működés közbeni megtekintéséhez.
  • Tudnivalók a privát végpontokról
  • Tudnivalók a virtuális hálózatokról
  • Tudnivalók a privát DNS-zónákról