Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usługa Azure Cosmos DB for PostgreSQL nie jest już obsługiwana w przypadku nowych projektów. Nie używaj tej usługi dla nowych projektów. Zamiast tego użyj jednej z tych dwóch usług:
Użyj usługi Azure Cosmos DB for NoSQL dla rozproszonego rozwiązania bazy danych przeznaczonego dla scenariuszy o dużej skali z umową dotyczącą poziomu usług dostępności 99,999% (SLA), natychmiastowym skalowaniem automatycznym i automatycznym przejściem w tryb failover w wielu regionach.
Użyj funkcji Elastic Clusters usługi Azure Database for PostgreSQL na potrzeby fragmentowanej bazy danych PostgreSQL przy użyciu rozszerzenia Citus typu open source.
Na tej stronie przedstawiono wiele warstw zabezpieczeń dostępnych do ochrony danych w klastrze.
Ochrona informacji i ich przechowywanie
W drodze
Za każdym razem, gdy dane są pozyskiwane do węzła, usługa Azure Cosmos DB for PostgreSQL zabezpiecza dane, szyfrując je podczas przesyłania przy użyciu protokołu Transport Layer Security (TLS) 1.2 lub nowszego. Szyfrowanie (SSL/TLS) jest zawsze wymuszane i nie można go wyłączyć.
Minimalna wersja protokołu TLS wymagana do nawiązania połączenia z klastrem może być wymuszana przez ustawienie parametru ssl_min_protocol_version koordynatora i węzła procesu roboczego na wartość TLSV1.2 lub TLSV1.3 odpowiednio dla protokołu TLS 1.2 lub TLS 1.3.
W stanie spoczynku
Usługa Azure Cosmos DB for PostgreSQL używa zweryfikowanego modułu kryptograficznego FIPS 140-2 do szyfrowania danych magazynowanych. Dane, w tym kopie zapasowe, są szyfrowane na dysku, w tym pliki tymczasowe utworzone podczas uruchamiania zapytań. Usługa używa 256-bitowego szyfru AES zawartego w szyfrowaniu usługi Azure Storage, a klucze są zarządzane przez system. Szyfrowanie magazynu jest zawsze włączone i nie można go wyłączyć.
Bezpieczeństwo sieci
Usługa Azure Cosmos DB for PostgreSQL obsługuje trzy opcje sieciowe:
- Brak dostępu
- Jest to ustawienie domyślne dla nowo utworzonego klastra, jeśli nie jest włączony dostęp publiczny lub prywatny. Żadne komputery, niezależnie od tego, czy znajdują się na platformie Azure, czy poza nią, mogą łączyć się z węzłami bazy danych.
- Dostęp publiczny
- Publiczny adres IP jest przypisywany do węzła koordynatora.
- Dostęp do węzła koordynatora jest chroniony przez zaporę.
- Opcjonalnie można włączyć dostęp do wszystkich węzłów procesu roboczego. W takim przypadku publiczne adresy IP są przypisywane do węzłów roboczych i są zabezpieczone przez tę samą zaporę.
- Dostęp prywatny
- Tylko prywatne adresy IP są przypisywane do węzłów klastra.
- Każdy węzeł wymaga prywatnego punktu końcowego, aby zezwolić hostom w wybranej sieci wirtualnej na dostęp do węzłów.
- Funkcje zabezpieczeń sieci wirtualnych platformy Azure, takie jak sieciowe grupy zabezpieczeń, mogą służyć do kontroli dostępu.
Podczas tworzenia klastra możesz włączyć dostęp publiczny lub prywatny albo wybrać ustawienie domyślne braku dostępu. Po utworzeniu klastra można przełączać się między dostępem publicznym lub prywatnym albo aktywować je jednocześnie.
Limity i ograniczenia
Zobacz stronę Limity i ograniczenia usługi Azure Cosmos DB for PostgreSQL.
Następne kroki
- Dowiedz się, jak włączyć dostęp prywatny i zarządzać nim
- Dowiedz się więcej o prywatnych punktach końcowych
- Dowiedz się więcej o sieciach wirtualnych
- Dowiedz się więcej o prywatnych strefach DNS