Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usługa Azure Cosmos DB for PostgreSQL nie jest już obsługiwana w przypadku nowych projektów. Nie używaj tej usługi dla nowych projektów. Zamiast tego użyj jednej z tych dwóch usług:
Użyj usługi Azure Cosmos DB for NoSQL dla rozproszonego rozwiązania bazy danych przeznaczonego dla scenariuszy o dużej skali z umową dotyczącą poziomu usług dostępności 99,999% (SLA), natychmiastowym skalowaniem automatycznym i automatycznym przejściem w tryb failover w wielu regionach.
Użyj funkcji Elastic Clusters usługi Azure Database for PostgreSQL na potrzeby fragmentowanej bazy danych PostgreSQL przy użyciu rozszerzenia Citus typu open source.
Węzeł koordynacji wymaga, aby aplikacje klienckie łączyły się z protokołem Transport Layer Security (TLS). Wymuszanie protokołu TLS między serwerem bazy danych a aplikacjami klienckimi pomaga zachować poufne dane podczas przesyłania. Dodatkowe ustawienia weryfikacji opisane poniżej chronią również przed atakami typu "man-in-the-middle".
Wymuszanie połączeń TLS
Aplikacje używają "parametry połączenia", aby zidentyfikować docelową bazę danych i ustawienia połączenia. Różni klienci wymagają różnych ustawień. Aby wyświetlić listę parametry połączenia używanych przez typowych klientów, zapoznaj się z sekcją Parametry połączenia dla klastra w witrynie Azure Portal.
Parametry ssl protokołu TLS i sslmode różnią się w zależności od możliwości łącznika, na przykład ssl=true lub sslmode=require .sslmode=required
Upewnij się, że aplikacja lub struktura obsługuje połączenia TLS
Niektóre struktury aplikacji domyślnie nie włączają protokołu TLS dla połączeń PostgreSQL. Jednak bez bezpiecznego połączenia aplikacja nie może nawiązać połączenia z węzłem koordynacji. Zapoznaj się z dokumentacją aplikacji, aby dowiedzieć się, jak włączyć połączenia TLS.
Aplikacje wymagające weryfikacji certyfikatu na potrzeby łączności TLS
W niektórych przypadkach aplikacje wymagają lokalnego pliku certyfikatu wygenerowanego na podstawie pliku certyfikatu zaufanego urzędu certyfikacji (.cer) w celu bezpiecznego nawiązania połączenia. Certyfikat umożliwiający nawiązanie połączenia z usługą Azure Cosmos DB for PostgreSQL znajduje się w lokalizacji https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem. Pobierz plik certyfikatu i zapisz go w preferowanej lokalizacji.
Uwaga
Aby sprawdzić autentyczność certyfikatu, możesz zweryfikować jego odcisk palca SHA-256 przy użyciu narzędzia wiersza polecenia OpenSSL:
openssl x509 -in DigiCertGlobalRootG2.crt.pem -noout -sha256 -fingerprint
# should output:
# CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F
Nawiązywanie połączenia przy użyciu narzędzia psql
W poniższym przykładzie pokazano, jak nawiązać połączenie z węzłem koordynacji przy użyciu narzędzia wiersza polecenia psql. Użyj ustawienia sslmode=verify-full łańcucha połączenia, aby wymusić weryfikację certyfikatu TLS. Przekaż ścieżkę pliku certyfikatu lokalnego do parametru sslrootcert .
Poniżej znajduje się przykład ciągu połączenia psql.
psql "sslmode=verify-full sslrootcert=DigiCertGlobalRootG2.crt.pem host=c-mydemocluster.12345678901234.postgres.cosmos.azure.com dbname=citus user=citus password=your_pass"
Napiwek
Upewnij się, że wartość, którą przekazano do elementu sslrootcert, jest zgodna ze ścieżką do pliku z zapisanym certyfikatem.
Uwaga
Do użycia jako hasła, skorzystaj z hasła połączenia lub tokenu identyfikatora Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
Następne kroki
Dalsze zwiększenie poziomu zabezpieczeń dzięki regułom zapory w usłudze Azure Cosmos DB for PostgreSQL.