Privat åtkomst i Azure Cosmos DB för PostgreSQL
GÄLLER FÖR: 
Azure Cosmos DB for PostgreSQL (drivs av Citus-databastillägget till PostgreSQL)
Azure Cosmos DB for PostgreSQL stöder tre nätverksalternativ:
- Ingen åtkomst
- Detta är standardvärdet för ett nyligen skapat kluster om offentlig eller privat åtkomst inte är aktiverad. Inga datorer, oavsett om de finns i eller utanför Azure, kan ansluta till databasnoderna.
- Offentlig åtkomst
- En offentlig IP-adress tilldelas till koordinatornoden.
- Åtkomst till koordinatornoden skyddas av brandväggen.
- Du kan också aktivera åtkomst till alla arbetsnoder. I det här fallet tilldelas offentliga IP-adresser till arbetsnoderna och skyddas av samma brandvägg.
- Privat åtkomst
- Endast privata IP-adresser tilldelas till klustrets noder.
- Varje nod kräver en privat slutpunkt för att värdar i det valda virtuella nätverket ska få åtkomst till noderna.
- Säkerhetsfunktioner i virtuella Azure-nätverk, till exempel nätverkssäkerhetsgrupper, kan användas för åtkomstkontroll.
När du skapar ett kluster kan du aktivera offentlig eller privat åtkomst eller välja standardvärdet ingen åtkomst. När klustret har skapats kan du välja att växla mellan offentlig eller privat åtkomst eller aktivera båda samtidigt.
På den här sidan beskrivs alternativet för privat åtkomst. Offentlig åtkomst finns här.
Definitioner
Virtuellt nätverk. Ett virtuellt Azure-nätverk (VNet) är den grundläggande byggstenen för privata nätverk i Azure. Med virtuella nätverk kan många typer av Azure-resurser, till exempel databasservrar och Virtuella Azure-datorer (VM), kommunicera på ett säkert sätt med varandra. Virtuella nätverk stöder lokala anslutningar, tillåter värdar i flera virtuella nätverk att interagera med varandra via peering och ger ytterligare fördelar med skalning, säkerhetsalternativ och isolering. Varje privat slutpunkt för ett kluster kräver ett associerat virtuellt nätverk.
Undernät. Undernät segmentera ett virtuellt nätverk i ett eller flera undernät. Varje undernät får en del av adressutrymmet, vilket förbättrar effektiviteten för adressallokering. Du kan skydda resurser i undernät med hjälp av nätverkssäkerhetsgrupper. Mer information finns i Nätverkssäkerhetsgrupper.
När du väljer ett undernät för ett klusters privata slutpunkt kontrollerar du att tillräckligt många privata IP-adresser är tillgängliga i det undernätet för dina aktuella och framtida behov.
Privat slutpunkt. En privat slutpunkt är ett nätverksgränssnitt som använder en privat IP-adress från ett virtuellt nätverk. Det här nätverksgränssnittet ansluter privat och säkert till en tjänst som drivs av Azure Private Link. Privata slutpunkter tar tjänsterna till ditt virtuella nätverk.
När du aktiverar privat åtkomst för Azure Cosmos DB for PostgreSQL skapas en privat slutpunkt för klustrets koordinatornod. Med slutpunkten kan värdar i det valda virtuella nätverket komma åt koordinatorn. Du kan också skapa privata slutpunkter för arbetsnoder.
Privat DNS-zon. En privat DNS-zon i Azure löser värdnamn i ett länkat virtuellt nätverk och i alla peer-kopplade virtuella nätverk. Domänposter för noder skapas i en privat DNS-zon som valts för deras kluster. Se till att använda fullständigt kvalificerade domännamn (FQDN) för nodernas PostgreSQL-niska veze.
Private Link
Du kan använda privata slutpunkter för dina kluster för att tillåta värdar i ett virtuellt nätverk (VNet) att på ett säkert sätt komma åt data via en privat länk.
Klustrets privata slutpunkt använder en IP-adress från det virtuella nätverkets adressutrymme. Trafik mellan värdar i det virtuella nätverket och noder går via en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen för det offentliga Internet.
Program i det virtuella nätverket kan ansluta till noderna via den privata slutpunkten sömlöst, med samma niska veze och auktoriseringsmekanismer som de skulle använda annars.
Du kan välja privat åtkomst när klustret skapas och du kan växla från offentlig åtkomst till privat åtkomst när som helst.
Använda en privat DNS-zon
En ny privat DNS-zon etableras automatiskt för varje privat slutpunkt, såvida du inte väljer någon av de privata DNS-zoner som tidigare skapats av Azure Cosmos DB för PostgreSQL. Mer information finns i översikten över privata DNS-zoner.
Tjänsten Azure Cosmos DB for PostgreSQL skapar DNS-poster, till exempel c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com i den valda privata DNS-zonen för varje nod med en privat slutpunkt. När du ansluter till en nod från en virtuell Azure-dator via en privat slutpunkt löser Azure DNS nodens FQDN till en privat IP-adress.
Inställningar för privata DNS-zoner och peering för virtuella nätverk är oberoende av varandra. Om du vill ansluta till en nod i klustret från en klient som har etablerats i ett annat virtuellt nätverk (från samma region eller en annan region) måste du länka den privata DNS-zonen till det virtuella nätverket. Mer information finns i Länka det virtuella nätverket.
Kommentar
Tjänsten skapar också alltid offentliga CNAME-poster, till exempel c-mygroup01.12345678901234.postgres.cosmos.azure.com för varje nod. Valda datorer på det offentliga Internet kan dock bara ansluta till det offentliga värdnamnet om databasadministratören ger offentlig åtkomst till klustret.
Om du använder en anpassad DNS-server måste du använda en DNS-vidarebefordrare för att matcha FQDN för noder. Vidarebefordrarens IP-adress ska vara 168.63.129.16. Den anpassade DNS-servern ska finnas i det virtuella nätverket eller nås via det virtuella nätverkets DNS-serverinställning. Mer information finns i Namnmatchning som använder din egen DNS-server.
Rekommendationer
När du aktiverar privat åtkomst för klustret bör du tänka på följande:
Undernätsstorlek: När du väljer undernätsstorlek för ett kluster bör du överväga aktuella behov, till exempel IP-adresser för koordinator eller alla noder i klustret, och framtida behov, till exempel tillväxt av klustret.
Kontrollera att du har tillräckligt med privata IP-adresser för aktuella och framtida behov. Tänk på att Azure reserverar fem IP-adresser i varje undernät.
Mer information finns i dessa vanliga frågor och svar.
Privat DNS-zon: DNS-poster med privata IP-adresser kommer att underhållas av Azure Cosmos DB för PostgreSQL-tjänsten. Se till att du inte tar bort den privata DNS-zon som används för kluster.
Gränser och begränsningar
Se sidan gränser och begränsningar för Azure Cosmos DB for PostgreSQL.
Nästa steg
- Lär dig hur du aktiverar och hanterar privat åtkomst
- Följ en självstudiekurs för att se hur privat åtkomst fungerar.
- Läs mer om privata slutpunkter
- Lär dig mer om virtuella nätverk
- Läs mer om privata DNS-zoner
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för