Частный доступ в Azure Cosmos DB для PostgreSQL

ПРИМЕНИМО К: Azure Cosmos DB для PostgreSQL (на базе расширения базы данных Citus для PostgreSQL)

Azure Cosmos DB для PostgreSQL поддерживает три варианта сети:

• Нет доступа
  • Это значение по умолчанию для вновь созданного кластера, если общедоступный или частный доступ не включен. Компьютеры в Azure и вне периметра не могут подключаться к узлам базы данных.
• Открытый доступ
  • Общедоступный IP-адрес назначается узлу-координатору.
  • Доступ к узлу-координатору защищен брандмауэром.
  • При необходимости можно включить доступ ко всем рабочим узлам. В этом случае общедоступные IP-адреса назначаются рабочим узлам и защищаются тем же брандмауэром.
• Закрытый доступ
  • Узлам кластера назначаются только частные IP-адреса.
  • Для каждого узла требуется частная конечная точка, чтобы разрешить узлам в выбранной виртуальной сети доступ к узлам.
  • Для контроля доступа можно использовать функции безопасности виртуальных сетей Azure, таких как группы безопасности сети.

При создании кластера можно включить общедоступный или частный доступ или выбрать значение по умолчанию без доступа. После создания кластера можно переключаться между общедоступным или частным доступом или активировать их одновременно.

На этой странице описывается параметр частного доступа. Информацию об открытом доступе см. здесь.

Определения

Виртуальная сеть. Виртуальная сеть Azure — это стандартный строительный блок для вашей частной сети в Azure. Виртуальные сети позволяют ресурсам Azure различных типов (например, серверам базы данных и виртуальным машинам Azure) безопасно обмениваться данными. Виртуальные сети поддерживают локальные подключения, позволяют узлам в нескольких виртуальных сетях взаимодействовать друг с другом через пиринг и предоставляют дополнительные преимущества масштабирования, параметров безопасности и изоляции. Для каждой частной конечной точки кластера требуется связанная виртуальная сеть.

Подсеть. Подсети разбивают виртуальную сеть на одну или несколько подсетей. Каждая подсеть получает часть адресного пространства, повышая эффективность выделения адресов. Вы можете защищать ресурсы в рамках подсетей с помощью групп безопасности сети. Дополнительные сведения см. в разделе Группы безопасности сети.

При выборе подсети для частной конечной точки кластера убедитесь, что в этой подсети доступно достаточно частных IP-адресов для текущих и будущих потребностей.

Частная конечная точка. Частная конечная точка — это сетевой интерфейс, использующий частный IP-адрес из виртуальной сети. Этот сетевой интерфейс надежно подключается к службе через приватный канал Azure. Частные конечные точки переносят службы в виртуальную сеть.

Включение частного доступа для Azure Cosmos DB для PostgreSQL создает частную конечную точку для узла-координатора кластера. Конечная точка позволяет узлам в выбранной виртуальной сети получить доступ к координатору. При необходимости можно также создать частные конечные точки для рабочих узлов.

Частная зона DNS. Частная зона DNS Azure разрешает имена узлов в связанной виртуальной сети и в пределах любой одноранговой виртуальной сети. Записи домена для узлов создаются в частной зоне DNS, выбранной для их кластера. Обязательно используйте полные доменные имена (FQDN) для строк подключения PostgreSQL узлов.

Приватный канал

Вы можете использовать частные конечные точки для кластеров, чтобы разрешить узлам в виртуальной сети безопасный доступ к данным через Приватный канал.

Частная конечная точка кластера использует IP-адрес из адресного пространства виртуальной сети. Трафик между узлами в виртуальной сети и узлами проходит через приватный канал в магистральной сети Майкрософт, устраняя уязвимость к общедоступному Интернету.

Приложения в виртуальной сети могут легко подключаться к узлам через частную конечную точку, используя те же строки подключения и механизмы авторизации, что и в противном случае.

Вы можете выбрать частный доступ во время создания кластера и переключиться с общедоступного доступа на частный доступ в любой момент.

Использование частной зоны DNS

Для каждой частной конечной точки автоматически подготавливается новая частная зона DNS, если вы не выбрали одну из частных зон DNS, ранее созданных Azure Cosmos DB для PostgreSQL. Дополнительные сведения см. в обзоре частных зон DNS.

Служба Azure Cosmos DB для PostgreSQL создает записи DNS, например c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com в выбранной частной зоне DNS для каждого узла с частной конечной точкой. При подключении к узлу из виртуальной машины Azure через частную конечную точку Azure DNS разрешает полное доменное имя узла в частный IP-адрес.

Параметры частной зоны DNS и пиринга между виртуальными сетями не зависят друг от друга. Если вы хотите подключиться к узлу в кластере из клиента, подготовленного в другой виртуальной сети (из того же или другого региона), необходимо связать частную зону DNS с виртуальной сетью. Дополнительные сведения см. в статье о связывании виртуальной сети.

Примечание

Служба также всегда создает общедоступные записи CNAME, такие как c-mygroup01.12345678901234.postgres.cosmos.azure.com для каждого узла. Однако выбранные компьютеры в общедоступном Интернете могут подключаться к имени общедоступного узла только в том случае, если администратор базы данных разрешает общий доступ к кластеру.

Если вы используете пользовательский DNS-сервер, необходимо использовать DNS-сервер пересылки для разрешения полного доменного имени узлов. IP-адрес сервера пересылки должен быть 168.63.129.16. Настраиваемый DNS-сервер должен находиться в виртуальной сети или быть доступным через настройки DNS-сервера виртуальной сети. Дополнительные сведения см. в статье о разрешении имен с помощью собственного DNS-сервера.

Рекомендации

При включении частного доступа для кластера учитывайте следующие аспекты:

• Размер подсети. При выборе размера подсети для кластера учитывайте текущие потребности, такие как IP-адреса для координатора или все узлы в этом кластере, а также будущие потребности, такие как рост этого кластера. Убедитесь, что у вас достаточно частных IP-адресов для текущих и будущих потребностей. Помните, что Azure резервирует пять IP-адресов в каждой подсети. Дополнительные сведения см. в этом разделе вопросов и ответов.
• Частная зона DNS зоне. Записи DNS с частными IP-адресами будут поддерживаться службой Azure Cosmos DB для PostgreSQL. Не удаляйте частную зону DNS, используемую для кластеров.

Квоты и ограничения

См. статью Ограничения и ограничения Azure Cosmos DB для PostgreSQL.

Дальнейшие действия

• Подробнее о включении частного доступа и управлении им
• Следуйте указаниям учебника, чтобы узнать, как работает частный доступ.
• Ознакомьтесь со сведениями о частных конечных точках
• Ознакомьтесь со сведениями о виртуальных сетях
• Ознакомьтесь со сведениями о частных зонах DNS