Acesso privado no Azure Cosmos DB para PostgreSQL

APLICA-SE A: Azure Cosmos DB para PostgreSQL (com tecnologia da extensão da base de dados Citus para PostgreSQL)

O Azure Cosmos DB para PostgreSQL suporta três opções de rede:

• Sem acesso
  • Esta é a predefinição para um cluster recentemente criado se o acesso público ou privado não estiver ativado. Nenhum computador, dentro ou fora do Azure, consegue ligar-se aos nós da base de dados.
• Acesso público
  • É atribuído um endereço IP público ao nó coordenador.
  • O acesso ao nó coordenador está protegido pela firewall.
  • Opcionalmente, o acesso a todos os nós de trabalho pode ser ativado. Neste caso, os endereços IP públicos são atribuídos aos nós de trabalho e protegidos pela mesma firewall.
• Acesso privado
  • Apenas os endereços IP privados são atribuídos aos nós do cluster.
  • Cada nó requer um ponto final privado para permitir que os anfitriões na rede virtual selecionada acedam aos nós.
  • As funcionalidades de segurança das redes virtuais do Azure, como grupos de segurança de rede, podem ser utilizadas para controlo de acesso.

Quando cria um cluster, pode ativar o acesso público ou privado ou optar pela predefinição de nenhum acesso. Assim que o cluster for criado, pode optar por alternar entre o acesso público ou privado ou ativá-los de uma só vez.

Esta página descreve a opção de acesso privado. Para obter acesso público, consulte aqui.

Definições

Rede virtual. Um Rede Virtual do Azure (VNet) é o bloco modular fundamental para redes privadas no Azure. As redes virtuais permitem que muitos tipos de recursos do Azure, como servidores de bases de dados e Máquinas Virtuais do Azure (VM), comuniquem entre si de forma segura. As redes virtuais suportam ligações no local, permitem que os anfitriões em várias redes virtuais interajam entre si através do peering e proporcionam benefícios adicionais de escala, opções de segurança e isolamento. Cada ponto final privado para um cluster requer uma rede virtual associada.

Sub-rede. As sub-redes segmentam uma rede virtual numa ou mais sub-redes. Cada sub-rede obtém uma parte do espaço de endereços, melhorando a eficiência de alocação de endereços. Pode proteger recursos em sub-redes através de Grupos de Segurança de Rede. Para obter mais informações, veja Grupos de segurança de rede.

Quando selecionar uma sub-rede para o ponto final privado de um cluster, certifique-se de que existem endereços IP privados suficientes disponíveis nessa sub-rede para as suas necessidades atuais e futuras.

Ponto final privado. Um ponto final privado é uma interface de rede que utiliza um endereço IP privado de uma rede virtual. Esta interface de rede liga-se de forma privada e segura a um serviço com tecnologia Azure Private Link. Os pontos finais privados trazem os serviços para a sua rede virtual.

Ativar o acesso privado para o Azure Cosmos DB para PostgreSQL cria um ponto final privado para o nó coordenador do cluster. O ponto final permite que os anfitriões na rede virtual selecionada acedam ao coordenador. Opcionalmente, também pode criar pontos finais privados para nós de trabalho.

DNS Privado zona. Uma zona DNS privada do Azure resolve nomes de anfitrião numa rede virtual ligada e em qualquer rede virtual em modo de peering. Os registos de domínio para nós são criados numa zona DNS privada selecionada para o cluster. Certifique-se de que utiliza nomes de domínio completamente qualificados (FQDN) para as cadeias de ligação PostgreSQL dos nós.

Ligação privada

Pode utilizar pontos finais privados para os clusters para permitir que os anfitriões numa rede virtual (VNet) acedam de forma segura a dados através de um Private Link.

O ponto final privado do cluster utiliza um endereço IP do espaço de endereços da rede virtual. O tráfego entre anfitriões na rede virtual e nós passa por uma ligação privada na rede principal da Microsoft, eliminando a exposição à Internet pública.

As aplicações na rede virtual podem ligar-se aos nós através do ponto final privado de forma totalmente integrada, utilizando as mesmas cadeias de ligação e mecanismos de autorização que utilizariam de outra forma.

Pode selecionar o acesso privado durante a criação do cluster e pode mudar do acesso público para o acesso privado em qualquer altura.

Utilizar uma zona DNS privada

Uma nova zona DNS privada é aprovisionada automaticamente para cada ponto final privado, a menos que selecione uma das zonas DNS privadas criadas anteriormente pelo Azure Cosmos DB para PostgreSQL. Para obter mais informações, veja a descrição geral das zonas DNS privadas.

O serviço Azure Cosmos DB para PostgreSQL cria registos DNS, como c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com na zona DNS privada selecionada para cada nó com um ponto final privado. Quando se liga a um nó a partir de uma VM do Azure através de um ponto final privado, o DNS do Azure resolve o FQDN do nó num endereço IP privado.

DNS Privado definições de zona e peering de rede virtual são independentes uns dos outros. Se quiser ligar a um nó no cluster a partir de um cliente aprovisionado noutra rede virtual (da mesma região ou de uma região diferente), tem de ligar a zona DNS privada à rede virtual. Para obter mais informações, consulte Ligar a rede virtual.

Nota

O serviço também cria sempre registos CNAME públicos, como c-mygroup01.12345678901234.postgres.cosmos.azure.com para cada nó. No entanto, os computadores selecionados na Internet pública só podem ligar ao nome de anfitrião público se o administrador da base de dados permitir o acesso público ao cluster.

Se estiver a utilizar um servidor DNS personalizado, tem de utilizar um reencaminhador DNS para resolver o FQDN dos nós. O endereço IP do reencaminhador deve ser 168.63.129.16. O servidor DNS personalizado deve estar dentro da rede virtual ou acessível através da definição do servidor DNS da rede virtual. Para saber mais, veja Resolução de nomes que utiliza o seu próprio servidor DNS.

Recomendações

Quando ativar o acesso privado para o cluster, considere:

• Tamanho da sub-rede: ao selecionar o tamanho da sub-rede para um cluster, considere as necessidades atuais, como endereços IP para coordenador ou todos os nós nesse cluster, e necessidades futuras, como o crescimento desse cluster. Certifique-se de que tem endereços IP privados suficientes para as necessidades atuais e futuras. Tenha em atenção que o Azure reserva cinco endereços IP em cada sub-rede. Veja mais detalhes nestas FAQ.
• DNS Privado zona: os registos DNS com endereços IP privados serão mantidos pelo serviço Azure Cosmos DB para PostgreSQL. Certifique-se de que não elimina a zona DNS privada utilizada para clusters.

Limites e limitações

Veja a página Limites e limitações do Azure Cosmos DB para PostgreSQL.

Passos seguintes

• Saiba como ativar e gerir o acesso privado
• Siga um tutorial para ver o acesso privado em ação.
• Saiba mais sobre pontos finais privados
• Saiba mais sobre redes virtuais
• Saiba mais sobre zonas DNS privadas