Dostęp prywatny w usłudze Azure Cosmos DB for PostgreSQL

DOTYCZY: Usługa Azure Cosmos DB for PostgreSQL (obsługiwana przez rozszerzenie bazy danych Citus do bazy danych PostgreSQL)

Usługa Azure Cosmos DB for PostgreSQL obsługuje trzy opcje sieciowe:

• Brak dostępu
  • Jest to ustawienie domyślne dla nowo utworzonego klastra, jeśli nie jest włączony dostęp publiczny lub prywatny. Żadne komputery, niezależnie od tego, czy znajdują się na platformie Azure, czy poza nią, mogą łączyć się z węzłami bazy danych.
• Dostęp publiczny
  • Publiczny adres IP jest przypisywany do węzła koordynatora.
  • Dostęp do węzła koordynatora jest chroniony przez zaporę.
  • Opcjonalnie można włączyć dostęp do wszystkich węzłów procesu roboczego. W takim przypadku publiczne adresy IP są przypisywane do węzłów procesu roboczego i są zabezpieczone przez tę samą zaporę.
• Dostęp prywatny
  • Tylko prywatne adresy IP są przypisywane do węzłów klastra.
  • Każdy węzeł wymaga prywatnego punktu końcowego, aby zezwolić hostom w wybranej sieci wirtualnej na dostęp do węzłów.
  • Funkcje zabezpieczeń sieci wirtualnych platformy Azure, takie jak sieciowe grupy zabezpieczeń, mogą służyć do kontroli dostępu.

Podczas tworzenia klastra możesz włączyć dostęp publiczny lub prywatny albo wybrać ustawienie domyślne braku dostępu. Po utworzeniu klastra można przełączać się między dostępem publicznym lub prywatnym albo aktywować je jednocześnie.

Na tej stronie opisano opcję dostępu prywatnego. Aby uzyskać dostęp publiczny, zobacz tutaj.

Definicje

Sieć wirtualna. Sieć wirtualna platformy Azure to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieci wirtualne umożliwiają wiele typów zasobów platformy Azure, takich jak serwery baz danych i maszyny wirtualne platformy Azure, aby bezpiecznie komunikować się ze sobą. Sieci wirtualne obsługują połączenia lokalne, umożliwiają hostom w wielu sieciach wirtualnych interakcję ze sobą za pośrednictwem komunikacji równorzędnej i zapewniają dodatkowe korzyści ze skalowania, opcji zabezpieczeń i izolacji. Każdy prywatny punkt końcowy klastra wymaga skojarzonej sieci wirtualnej.

Podsieć. Podsieci dzielą sieć wirtualną na co najmniej jedną podsieć. Każda podsieć pobiera część przestrzeni adresowej, zwiększając wydajność alokacji adresów. Zasoby w podsieciach można zabezpieczyć przy użyciu sieciowych grup zabezpieczeń. Aby uzyskać więcej informacji, zobacz Sieciowe grupy zabezpieczeń.

Po wybraniu podsieci dla prywatnego punktu końcowego klastra upewnij się, że w tej podsieci są dostępne wystarczające prywatne adresy IP dla bieżących i przyszłych potrzeb.

Prywatny punkt końcowy. Prywatny punkt końcowy to interfejs sieciowy, który używa prywatnego adresu IP z sieci wirtualnej. Ten interfejs sieciowy łączy się prywatnie i bezpiecznie z usługą obsługiwaną przez usługę Azure Private Link. Prywatne punkty końcowe przeprowadzą usługi do sieci wirtualnej.

Włączenie dostępu prywatnego dla usługi Azure Cosmos DB for PostgreSQL powoduje utworzenie prywatnego punktu końcowego dla węzła koordynacji klastra. Punkt końcowy umożliwia hostom w wybranej sieci wirtualnej dostęp do koordynatora. Możesz również tworzyć prywatne punkty końcowe dla węzłów roboczych.

Prywatna strefa DNS strefy. Prywatna strefa DNS platformy Azure rozpoznaje nazwy hostów w połączonej sieci wirtualnej i w dowolnej równorzędnej sieci wirtualnej. Rekordy domeny dla węzłów są tworzone w prywatnej strefie DNS wybranej dla ich klastra. Pamiętaj, aby użyć w pełni kwalifikowanych nazw domen (FQDN) dla parametry połączenia PostgreSQL węzłów.

Łącze prywatne

Możesz użyć prywatnych punktów końcowych dla klastrów , aby umożliwić hostom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem usługi Private Link.

Prywatny punkt końcowy klastra używa adresu IP z przestrzeni adresowej sieci wirtualnej. Ruch między hostami w sieci wirtualnej i węzłach przechodzi przez łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczny Internet.

Aplikacje w sieci wirtualnej mogą bezproblemowo łączyć się z węzłami za pośrednictwem prywatnego punktu końcowego przy użyciu tych samych parametry połączenia i mechanizmów autoryzacji, które będą używane w przeciwnym razie.

Możesz wybrać dostęp prywatny podczas tworzenia klastra i w dowolnym momencie przełączyć się z publicznego dostępu do dostępu prywatnego.

Używanie prywatnej strefy DNS

Nowa prywatna strefa DNS jest automatycznie aprowizowana dla każdego prywatnego punktu końcowego, chyba że wybierzesz jedną z prywatnych stref DNS utworzonych wcześniej przez usługę Azure Cosmos DB for PostgreSQL. Aby uzyskać więcej informacji, zobacz omówienie prywatnych stref DNS.

Usługa Azure Cosmos DB for PostgreSQL tworzy rekordy DNS, takie jak c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com w wybranej prywatnej strefie DNS dla każdego węzła z prywatnym punktem końcowym. Po nawiązaniu połączenia z węzłem z maszyny wirtualnej platformy Azure za pośrednictwem prywatnego punktu końcowego usługa Azure DNS rozpoznaje nazwę FQDN węzła w prywatny adres IP.

Prywatna strefa DNS ustawienia strefy i komunikacja równorzędna sieci wirtualnych są niezależne od siebie. Jeśli chcesz nawiązać połączenie z węzłem w klastrze z poziomu klienta aprowizowanego w innej sieci wirtualnej (z tego samego regionu lub innego regionu), musisz połączyć prywatną strefę DNS z siecią wirtualną. Aby uzyskać więcej informacji, zobacz Łączenie sieci wirtualnej.

Uwaga

Usługa zawsze tworzy również publiczne rekordy CNAME, takie jak c-mygroup01.12345678901234.postgres.cosmos.azure.com dla każdego węzła. Jednak wybrane komputery w publicznym Internecie mogą łączyć się z publiczną nazwą hosta tylko wtedy, gdy administrator bazy danych włączy publiczny dostęp do klastra.

Jeśli używasz niestandardowego serwera DNS, musisz użyć usługi przesyłania dalej DNS, aby rozpoznać nazwę FQDN węzłów. Adres IP usługi przesyłania dalej powinien mieć wartość 168.63.129.16. Niestandardowy serwer DNS powinien znajdować się w sieci wirtualnej lub osiągalny za pośrednictwem ustawienia serwera DNS sieci wirtualnej. Aby dowiedzieć się więcej, zobacz Rozpoznawanie nazw używające własnego serwera DNS.

Zalecenia

Po włączeniu dostępu prywatnego dla klastra należy wziąć pod uwagę następujące kwestie:

• Rozmiar podsieci: podczas wybierania rozmiaru podsieci dla klastra należy wziąć pod uwagę bieżące potrzeby, takie jak adresy IP dla koordynatora lub wszystkich węzłów w tym klastrze, a przyszłe potrzeby, takie jak wzrost tego klastra.

  Upewnij się, że masz wystarczające prywatne adresy IP dla bieżących i przyszłych potrzeb. Należy pamiętać, że platforma Azure rezerwuje pięć adresów IP w każdej podsieci.

  Zobacz więcej szczegółów w tym często zadawanych pytaniach.

• Prywatna strefa DNS strefy: rekordy DNS z prywatnymi adresami IP będą obsługiwane przez usługę Azure Cosmos DB for PostgreSQL. Upewnij się, że nie usuwasz prywatnej strefy DNS używanej dla klastrów.

Limity i ograniczenia

Zobacz stronę Limity i ograniczenia usługi Azure Cosmos DB for PostgreSQL.

Następne kroki

• Dowiedz się, jak włączyć dostęp prywatny i zarządzać nim
• Postępuj zgodnie z samouczkiem, aby zobaczyć dostęp prywatny w działaniu.
• Dowiedz się więcej o prywatnych punktach końcowych
• Dowiedz się więcej o sieciach wirtualnych
• Dowiedz się więcej o prywatnych strefach DNS