Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Az Azure Cosmos DB for PostgreSQL már nem támogatott új projektek esetén. Ne használja ezt a szolgáltatást új projektekhez. Ehelyett használja az alábbi két szolgáltatás egyikét:
Az Azure Cosmos DB for NoSQL használata nagy léptékű forgatókönyvekhez tervezett elosztott adatbázis-megoldáshoz 99,999% rendelkezésre állási szolgáltatásiszint-szerződéssel (SLA), azonnali automatikus skálázással és automatikus feladatátvétellel több régióban.
Használja az Azure Database For PostgreSQL Rugalmas fürtök funkcióját a megosztott PostgreSQL-hez a nyílt forráskódú Citus-bővítmény használatával.
A koordinátor csomópont megköveteli, hogy az ügyfélalkalmazások csatlakozzanak a Transport Layer Securityhez (TLS). A TLS kényszerítése az adatbázis-kiszolgáló és az ügyfélalkalmazások között segít az adatok bizalmas átvitelében. Az alábbiakban ismertetett további ellenőrzési beállítások a "középen belüli" támadások ellen is védelmet nyújtanak.
TLS-kapcsolatok kényszerítése
Az alkalmazások egy "kapcsolati sztring" használatával azonosítják a céladatbázist és a kapcsolat beállításait. A különböző ügyfelek eltérő beállításokat igényelnek. Az általános kliensek által használt kapcsolati sztringek listájának megtekintéséhez nézze meg a Kapcsolati sztringek szakaszt az Azure portálon a fürtje számára.
A TLS-paraméterek ssl és sslmode az összekötő képességeitől függően változnak, például ssl=true vagy sslmode=requiresslmode=required.
Győződjön meg arról, hogy az alkalmazás vagy keretrendszer támogatja a TLS-kapcsolatokat
Egyes alkalmazás-keretrendszerek alapértelmezés szerint nem engedélyezik a TLS-t a PostgreSQL-kapcsolatokhoz. Biztonságos kapcsolat nélkül azonban egy alkalmazás nem tud csatlakozni a koordinátor csomóponthoz. A TLS-kapcsolatok engedélyezéséről az alkalmazás dokumentációjában tájékozódhat.
A TLS-kapcsolathoz tanúsítvány-ellenőrzést igénylő alkalmazások
Bizonyos esetekben az alkalmazásoknak egy megbízható hitelesítésszolgáltatói (CA-) tanúsítványfájlból (.cer) létrehozott helyi tanúsítványfájlt kell létrehozniuk a biztonságos csatlakozáshoz. Az Azure Cosmos DB for PostgreSQL-hez való csatlakozáshoz szükséges tanúsítvány a következő helyen https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pemtalálható: . Töltse le a tanúsítványfájlt, és mentse a kívánt helyre.
Megjegyzés
A tanúsítvány hitelességének ellenőrzéséhez ellenőrizze az SHA-256 ujjlenyomatát az OpenSSL parancssori eszközzel:
openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint
# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F
Csatlakozás psql használatával
Az alábbi példa bemutatja, hogyan csatlakozhat a koordinátor csomóponthoz a psql parancssori segédprogrammal. A TLS-tanúsítvány ellenőrzésének kényszerítéséhez használja a sslmode=verify-full kapcsolati sztring beállítást. Adja át a helyi tanúsítványfájl elérési útját a sslrootcert paraméternek.
Az alábbiakban egy példa látható a psql kapcsolati stringre:
psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"
Tipp.
Győződjön meg arról, hogy az sslrootcert paraméternek átadott érték megegyezik a mentett tanúsítvány fájlútvonalával.
Megjegyzés
A jelszóhoz használja a kapcsolati jelszót vagy a Microsoft Entra ID-jogkivonatot. További információkért lásd a hitelesítési beállításokat.
Következő lépések
Az Azure Cosmos DB for PostgreSQL tűzfalszabályaival tovább növelheti a biztonságot.