Acesso privado no Azure Cosmos DB for PostgreSQL

APLICA-SE A: Azure Cosmos DB for PostgreSQL (da plataforma da extensão de dados Citus para PostgreSQL)

O Azure Cosmos DB for PostgreSQL dá suporte a três opções de rede:

  • Sem acesso
    • Esse será o padrão para um cluster recém-criado se o acesso público ou privado não estiver habilitado. Nenhum computador, dentro ou fora do Azure, pode se conectar aos nós de banco de dados.
  • Acesso público
    • Um endereço IP público é atribuído ao nó coordenador.
    • O acesso ao nó coordenador é protegido por firewall.
    • Opcionalmente, o acesso a todos os nós de trabalho pode ser habilitado. Nesse caso, os endereços IP públicos são atribuídos aos nós de trabalho e são protegidos pelo mesmo firewall.
  • Acesso particular
    • Somente endereços IP privados são atribuídos aos nós do cluster.
    • Cada nó requer um ponto de extremidade privado para permitir que os hosts na rede virtual selecionada acessem os nós.
    • Os recursos de segurança de redes virtuais do Azure, como grupos de segurança de rede, podem ser usados para controle de acesso.

Ao criar um cluster, é possível habilitar o acesso público ou privado ou optar pelo padrão: nenhum acesso. Depois de criar o cluster, será possível optar por alternar entre o acesso público ou privado ou ativar ambos.

Esta página descreve a opção de acesso privado. Para acesso público, clique aqui.

Definições

Rede virtual. Uma VNet (Rede Virtual) do Azure é o bloco de construção fundamental para a rede privada no Azure. As redes virtuais permitem que muitos tipos de recursos do Azure, como servidores de banco de dados e VMs (máquinas virtuais) do Azure, se comuniquem entre si com segurança. As redes virtuais dão suporte a conexões locais, permitem que hosts em diversas redes virtuais interajam entre si por meio de emparelhamento e fornecem benefícios adicionais de escala, opções de segurança e isolamento. Cada ponto de extremidade privado de um cluster requer uma rede virtual associada.

Sub-rede. Uma rede virtual é segmentada em uma ou mais sub-redes. Cada sub-rede tem uma parte do espaço de endereço, o que melhora a eficiência da alocação de endereço. É possível proteger os recursos dentro de sub-redes usando grupos de segurança de rede. Para saber mais, confira Grupos de segurança de rede.

Ao selecionar uma sub-rede para um ponto de extremidade privado de um cluster, verifique se há endereços IP privados suficientes nessa sub-rede para suas necessidades atuais e futuras.

Ponto de extremidade privado. Um ponto de extremidade privado é uma interface de rede que usa um endereço IP privado de uma rede virtual. Essa interface de rede se conecta de forma privada e segura a um serviço fornecido pelo Link Privado do Azure. Os pontos de extremidade privados trazem os serviços para a rede virtual.

Habilitar o acesso privado para o Azure Cosmos DB for PostgreSQL cria um ponto de extremidade privado para o nó coordenador do cluster. O ponto de extremidade permite que os hosts na rede virtual selecionada acessem o coordenador. Também é possível criar pontos de extremidade privados para nós de trabalho.

Zona DNS privada. Uma zona DNS privada do Azure resolve nomes de host em uma rede virtual vinculada e em qualquer rede virtual com emparelhamento. Os registros de domínio dos nós são criados em uma zona DNS privada selecionada para o cluster deles. Use FQDNs (nomes de domínio totalmente qualificados) para cadeias de conexão PostgreSQL dos nós.

É possível usar pontos de extremidade privados para seus clusters a fim de permitir que os hosts em uma VNet (rede virtual) acessem com segurança os dados por meio de um Link Privado.

O ponto de extremidade privado do cluster usa um endereço IP do espaço de endereço da rede virtual. O tráfego entre os hosts na rede virtual e os nós passa por um link privado na rede de backbone da Microsoft, o que elimina a exposição à Internet pública.

Os aplicativos na rede virtual podem se conectar perfeitamente aos nós por meio do ponto de extremidade privado, usando as mesmas cadeias de conexão e mecanismos de autorização que usariam em outras situações.

É possível selecionar o acesso privado durante a criação do cluster e alternar do acesso público para o privado a qualquer momento.

Usar uma zona DNS privada

Uma nova zona DNS privada é provisionada automaticamente para cada ponto de extremidade privado, a menos que você selecione uma das zonas DNS privadas que foram criadas anteriormente pelo Azure Cosmos DB for PostgreSQL. Para saber mais, confira a Visão geral de zonas DNS privadas.

O serviço do Azure Cosmos DB for PostgreSQL cria registros DNS como o c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com na zona DNS privada selecionada para cada nó com um ponto de extremidade privado. Quando você se conecta a um nó de uma VM do Azure por meio de um ponto de extremidade privado, o DNS do Azure resolve o FQDN do nó em um endereço IP privado.

As configurações de zona DNS privada e o emparelhamento de redes virtuais são independentes um do outro. Para se conectar a um nó no cluster de um cliente provisionado em outra rede virtual (da mesma região ou não), vincule a zona DNS privada à rede virtual. Para saber mais, confira Vincular rede virtual.

Observação

O serviço também sempre cria registros CNAME públicos, como c-mygroup01.12345678901234.postgres.cosmos.azure.com, para cada nó. No entanto, computadores selecionados na Internet pública só podem se conectar ao nome de host público quando o administrador do banco de dados habilitar o acesso público ao cluster.

Se você estiver usando um servidor DNS personalizado, use um encaminhador DNS para resolver o FQDN dos nós. O endereço IP do encaminhador deve ser 168.63.129.16. O servidor de DNS personalizado deve estar dentro da rede virtual, ou ser acessível por meio da configuração do servidor DNS da rede virtual. Para obter mais informações, consulte Resolução de nome usando seu próprio servidor DNS.

Recomendações

Considere o seguinte ao habilitar o acesso privado para o cluster:

  • Tamanho da sub-rede: ao selecionar o tamanho da sub-rede para um cluster, considere suas necessidades atuais, como endereços IP para o coordenador ou todos os nós no cluster, e futuras, como o crescimento do cluster. Verifique se você tem endereços IP privados suficientes para as necessidades atuais e futuras. Lembre-se de que o Azure reserva cinco endereços IP em cada sub-rede. Confira mais detalhes nestas Perguntas frequentes.
  • Zona DNS privada: os registros DNS com endereços IP privados serão mantidos pelo serviço do Azure Cosmos DB for PostgreSQL. Não exclua zonas DNS privadas que são usadas para clusters.

Limites e limitações

Confira a página Limites e limitações do Azure Cosmos DB for PostgreSQL.

Próximas etapas