Privétoegang in Azure Cosmos DB for PostgreSQL

VAN TOEPASSING OP: Azure Cosmos DB for PostgreSQL (mogelijk gemaakt door de Citus-database-extensie naar PostgreSQL)

Azure Cosmos DB for PostgreSQL ondersteunt drie netwerkopties:

• Geen toegang
  • Dit is de standaardinstelling voor een nieuw gemaakt cluster als openbare of persoonlijke toegang niet is ingeschakeld. Geen computers, binnen of buiten Azure, kunnen verbinding maken met de databaseknooppunten.
• Openbare toegang
  • Er wordt een openbaar IP-adres toegewezen aan het coördinatorknooppunt.
  • De toegang tot het coördinatorknooppunt wordt beveiligd door de firewall.
  • Optioneel kan toegang tot alle werkknooppunten worden ingeschakeld. In dit geval worden openbare IP-adressen toegewezen aan de werkknooppunten en worden beveiligd door dezelfde firewall.
• Privétoegang
  • Alleen privé-IP-adressen worden toegewezen aan de knooppunten van het cluster.
  • Elk knooppunt vereist een privé-eindpunt om hosts in het geselecteerde virtuele netwerk toegang te geven tot de knooppunten.
  • Beveiligingsfuncties van virtuele Azure-netwerken, zoals netwerkbeveiligingsgroepen, kunnen worden gebruikt voor toegangsbeheer.

Wanneer u een cluster maakt, kunt u openbare of persoonlijke toegang inschakelen of kiezen voor de standaardinstelling van geen toegang. Zodra het cluster is gemaakt, kunt u ervoor kiezen om te schakelen tussen openbare of persoonlijke toegang of om ze beide tegelijk te activeren.

Op deze pagina wordt de optie voor privétoegang beschreven. Zie hier voor openbare toegang.

Definities

Virtueel netwerk. Een Virtueel Azure-netwerk (VNet) is de fundamentele bouwsteen voor privénetwerken in Azure. Met virtuele netwerken kunnen veel soorten Azure-resources, zoals databaseservers en Azure Virtual Machines (VM), veilig met elkaar communiceren. Virtuele netwerken ondersteunen on-premises verbindingen, staan hosts in meerdere virtuele netwerken toe om met elkaar te communiceren via peering en bieden extra voordelen van schaal, beveiligingsopties en isolatie. Voor elk privé-eindpunt voor een cluster is een gekoppeld virtueel netwerk vereist.

Subnet. Subnetten segmenteren een virtueel netwerk in een of meer subnetten. Elk subnetwerk krijgt een deel van de adresruimte, waardoor de efficiëntie van adrestoewijzing wordt verbeterd. U kunt resources binnen subnetten beveiligen met behulp van netwerkbeveiligingsgroepen. Zie Netwerkbeveiligingsgroepen voor meer informatie.

Wanneer u een subnet voor het privé-eindpunt van een cluster selecteert, moet u ervoor zorgen dat er voldoende privé-IP-adressen beschikbaar zijn in dat subnet voor uw huidige en toekomstige behoeften.

Privé-eindpunt. Een privé-eindpunt is een netwerkinterface die gebruikmaakt van een privé-IP-adres van een virtueel netwerk. Deze netwerkinterface maakt privé en veilig verbinding met een service die wordt mogelijk gemaakt door Azure Private Link. Privé-eindpunten brengen de services naar uw virtuele netwerk.

Als u privétoegang inschakelt voor Azure Cosmos DB for PostgreSQL, wordt een privé-eindpunt gemaakt voor het coördinatorknooppunt van het cluster. Met het eindpunt kunnen hosts in het geselecteerde virtuele netwerk toegang krijgen tot de coördinator. U kunt desgewenst ook privé-eindpunten maken voor werkknooppunten.

Privé-DNS zone. Een privé-DNS-zone van Azure zet hostnamen in een gekoppeld virtueel netwerk en binnen een gekoppeld virtueel netwerk om. Domeinrecords voor knooppunten worden gemaakt in een privé-DNS-zone die is geselecteerd voor hun cluster. Zorg ervoor dat u FQDN (Fully Qualified Domain Names) gebruikt voor postgreSQL-verbindingsreeks van knooppunten.

Private Link

U kunt privé-eindpunten voor uw clusters gebruiken om hosts in een virtueel netwerk (VNet) veilig toegang te geven tot gegevens via een Private Link.

Het privé-eindpunt van het cluster maakt gebruik van een IP-adres uit de adresruimte van het virtuele netwerk. Verkeer tussen hosts in het virtuele netwerk en knooppunten gaat via een privékoppeling op het Microsoft backbone-netwerk, waardoor de blootstelling aan het openbare internet wordt geëlimineerd.

Toepassingen in het virtuele netwerk kunnen naadloos verbinding maken met de knooppunten via het privé-eindpunt, met behulp van dezelfde verbindingsreeks s en autorisatiemechanismen die ze anders zouden gebruiken.

U kunt privétoegang selecteren tijdens het maken van het cluster en u kunt op elk gewenst moment overschakelen van openbare toegang tot privétoegang.

Een privé-DNS-zone gebruiken

Er wordt automatisch een nieuwe privé-DNS-zone ingericht voor elk privé-eindpunt, tenzij u een van de privé-DNS-zones selecteert die eerder zijn gemaakt door Azure Cosmos DB for PostgreSQL. Zie het overzicht van privé-DNS-zones voor meer informatie.

De Azure Cosmos DB for PostgreSQL-service maakt DNS-records, zoals c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com in de geselecteerde privé-DNS-zone voor elk knooppunt met een privé-eindpunt. Wanneer u verbinding maakt met een knooppunt vanaf een Azure-VM via een privé-eindpunt, wordt de FQDN van het knooppunt omgezet in een privé-IP-adres.

Privé-DNS zone-instellingen en peering van virtuele netwerken zijn onafhankelijk van elkaar. Als u verbinding wilt maken met een knooppunt in het cluster vanaf een client die is ingericht in een ander virtueel netwerk (vanuit dezelfde regio of een andere regio), moet u de privé-DNS-zone koppelen aan het virtuele netwerk. Zie Het virtuele netwerk koppelen voor meer informatie.

Notitie

De service maakt ook altijd openbare CNAME-records, zoals c-mygroup01.12345678901234.postgres.cosmos.azure.com voor elk knooppunt. Geselecteerde computers op het openbare internet kunnen echter alleen verbinding maken met de openbare hostnaam als de databasebeheerder openbare toegang tot het cluster toekent.

Als u een aangepaste DNS-server gebruikt, moet u een DNS-doorstuurserver gebruiken om de FQDN van knooppunten om te zetten. Het IP-adres van de doorstuurserver moet 168.63.129.16 zijn. De aangepaste DNS-server moet zich in het virtuele netwerk bevinden of bereikbaar zijn via de DNS-serverinstelling van het virtuele netwerk. Zie Naamomzetting die gebruikmaakt van uw eigen DNS-server voor meer informatie.

Aanbevelingen

Wanneer u privétoegang voor uw cluster inschakelt, kunt u het volgende overwegen:

• Subnetgrootte: Houd bij het selecteren van de subnetgrootte voor een cluster rekening met de huidige behoeften, zoals IP-adressen voor coördinator of alle knooppunten in dat cluster, en toekomstige behoeften, zoals groei van dat cluster.

  Zorg ervoor dat u voldoende privé-IP-adressen hebt voor de huidige en toekomstige behoeften. Houd er rekening mee dat Azure vijf IP-adressen in elk subnet reserveert.

  Zie meer informatie in deze veelgestelde vragen.

• Privé-DNS zone: DNS-records met privé-IP-adressen worden onderhouden door de Azure Cosmos DB for PostgreSQL-service. Zorg ervoor dat u geen privé-DNS-zone verwijdert die wordt gebruikt voor clusters.

Limieten en beperkingen

Zie de pagina Limieten en beperkingen van Azure Cosmos DB for PostgreSQL.

Volgende stappen

• Meer informatie over het inschakelen en beheren van privétoegang
• Volg een zelfstudie om privétoegang in actie te zien.
• Meer informatie over privé-eindpunten
• Meer informatie over virtuele netwerken
• Meer informatie over privé-DNS-zones