Частный доступ в Azure Cosmos DB для PostgreSQL

ОБЛАСТЬ ПРИМЕНЕНИЯ: Postgresql

Azure Cosmos DB для PostgreSQL поддерживает три варианта сети:

  • Нет доступа
    • Это значение по умолчанию для только что созданного кластера, если общедоступный или частный доступ не включен. Компьютеры в Azure и вне периметра не могут подключаться к узлам базы данных.
  • Открытый доступ
    • Общедоступный IP-адрес назначается узлу-координатору.
    • Доступ к узлу-координатору защищен брандмауэром.
    • При необходимости можно включить доступ ко всем рабочим узлам. В этом случае общедоступные IP-адреса назначаются рабочим узлам и защищаются тем же брандмауэром.
  • Закрытый доступ
    • Узлам кластера назначаются только частные IP-адреса.
    • Каждому узлу требуется частная конечная точка, чтобы разрешить узлам в выбранной виртуальной сети доступ к узлам.
    • Для контроля доступа можно использовать функции безопасности виртуальных сетей Azure, таких как группы безопасности сети.

При создании кластера можно включить общедоступный или частный доступ или выбрать вариант по умолчанию без доступа. После создания кластера можно переключиться между общедоступным или частным доступом или активировать их одновременно.

На этой странице описывается параметр частного доступа. Информацию об открытом доступе см. здесь.

Определения

Виртуальная сеть. Виртуальная сеть Azure — это стандартный строительный блок для вашей частной сети в Azure. Виртуальные сети позволяют ресурсам Azure различных типов (например, серверам базы данных и виртуальным машинам Azure) безопасно обмениваться данными. Виртуальные сети поддерживают локальные подключения, позволяют узлам в нескольких виртуальных сетях взаимодействовать друг с другом через пиринг и предоставляют дополнительные преимущества масштабирования, параметров безопасности и изоляции. Для каждой частной конечной точки кластера требуется связанная виртуальная сеть.

Подсеть. Подсети разбивают виртуальную сеть на одну или несколько подсетей. Каждая подсеть получает часть адресного пространства, повышая эффективность выделения адресов. Вы можете защищать ресурсы в рамках подсетей с помощью групп безопасности сети. Дополнительные сведения см. в разделе Группы безопасности сети.

При выборе подсети для частной конечной точки кластера убедитесь, что в этой подсети доступны достаточно частных IP-адресов для текущих и будущих потребностей.

Частная конечная точка. Частная конечная точка — это сетевой интерфейс, использующий частный IP-адрес из виртуальной сети. Этот сетевой интерфейс надежно подключается к службе через приватный канал Azure. Частные конечные точки переносят службы в виртуальную сеть.

Включение частного доступа для Azure Cosmos DB для PostgreSQL создает частную конечную точку для узла координатора кластера. Конечная точка позволяет узлам в выбранной виртуальной сети получить доступ к координатору. При необходимости можно также создать частные конечные точки для рабочих узлов.

Частная зона DNS. Частная зона DNS Azure разрешает имена узлов в связанной виртуальной сети и в пределах любой одноранговой виртуальной сети. Записи домена для узлов создаются в частной зоне DNS, выбранной для кластера. Обязательно используйте полные доменные имена (FQDN) для строк подключения PostgreSQL узлов.

Вы можете использовать частные конечные точки для кластеров, чтобы разрешить узлам в виртуальной сети безопасно обращаться к данным через Приватный канал.

Частная конечная точка кластера использует IP-адрес из адресного пространства виртуальной сети. Трафик между узлами в виртуальной сети и узлами проходит через приватный канал в магистральной сети Майкрософт, что устраняет уязвимость к общедоступному Интернету.

Приложения в виртуальной сети могут легко подключаться к узлам через частную конечную точку, используя те же строки подключения и механизмы авторизации, которые они использовали бы в противном случае.

Вы можете выбрать частный доступ во время создания кластера, и вы можете переключаться с общедоступного доступа на частный доступ в любой момент.

Использование частной зоны DNS

Новая частная зона DNS автоматически подготавливается для каждой частной конечной точки, если только вы не выбрали одну из частных зон DNS, созданных ранее Azure Cosmos DB для PostgreSQL. Дополнительные сведения см. в обзоре частных зон DNS.

Служба Azure Cosmos DB для PostgreSQL создает записи DNS, такие как c.privatelink.mygroup01.postgres.database.azure.com в выбранной частной зоне DNS для каждого узла с частной конечной точкой. При подключении к узлу из виртуальной машины Azure через частную конечную точку Azure DNS разрешает полное доменное имя узла в частный IP-адрес.

Параметры частной зоны DNS и пиринга между виртуальными сетями не зависят друг от друга. Если вы хотите подключиться к узлу в кластере из клиента, подготовленного в другой виртуальной сети (из того же региона или другого региона), необходимо связать частную зону DNS с виртуальной сетью. Дополнительные сведения см. в статье о связывании виртуальной сети.

Примечание

Служба также всегда создает общедоступные записи CNAME, такие как c.mygroup01.postgres.database.azure.com для каждого узла. Однако выбранные компьютеры в общедоступном Интернете могут подключаться к имени общедоступного узла, только если администратор базы данных разрешает общий доступ к кластеру.

Если вы используете пользовательский DNS-сервер, необходимо использовать dns-сервер пересылки для разрешения полного доменного имени узлов. IP-адрес сервера пересылки должен быть 168.63.129.16. Настраиваемый DNS-сервер должен находиться в виртуальной сети или быть доступным через настройки DNS-сервера виртуальной сети. Дополнительные сведения см. в статье о разрешении имен с помощью собственного DNS-сервера.

Рекомендации

При включении частного доступа для кластера рассмотрите следующие аспекты:

  • Размер подсети. При выборе размера подсети для кластера учитывайте текущие потребности, такие как IP-адреса для координатора или всех узлов в этом кластере, а также будущие потребности, такие как рост этого кластера. Убедитесь, что у вас достаточно частных IP-адресов для текущих и будущих потребностей. Помните, что Azure резервирует пять IP-адресов в каждой подсети. Дополнительные сведения см. в этом разделе вопросов и ответов.
  • Частная зона DNS зона: записи DNS с частными IP-адресами будут поддерживаться службой Azure Cosmos DB для PostgreSQL. Не удаляйте частную зону DNS, используемую для кластеров.

Квоты и ограничения

См. страницу ограничений и ограничений Azure Cosmos DB для PostgreSQL.

Дальнейшие действия