مشاركة عبر

وصول خاص في Azure Cosmos DB ل PostgreSQL

  • مقالة

ينطبق على: Azure Cosmos DB ل PostgreSQL (مدعوم بملحق قاعدة بيانات Citus إلى PostgreSQL)

يدعم Azure Cosmos DB ل PostgreSQL ثلاثة خيارات للشبكات:

  • لا يوجد وصول
    • هذا هو الإعداد الافتراضي لنظام مجموعة تم إنشاؤه حديثا إذا لم يتم تمكين الوصول العام أو الخاص. لا يمكن لأي أجهزة كمبيوتر، سواء داخل Azure أو خارجها، الاتصال بعُقد قاعدة البيانات.
  • الوصول العام
    • يتم تعيين عنوان IP عام لعقدة المنسق.
    • الوصول إلى عقدة المنسق محمي بواسطة جدار الحماية.
    • اختياريًا، يمكن تمكين الوصول إلى جميع العقد العاملة. في هذه الحالة، يتم تعيين عناوين IP العامة إلى العقد العاملة ويتم تأمينها بواسطة جدار الحماية نفسه.
  • وصول خاص
    • يتم تعيين عناوين IP الخاصة فقط لعقد نظام المجموعة.
    • تتطلب كل عقدة نقطة نهاية خاصة للسماح للمضيفين في الشبكة الظاهرية المحددة بالوصول إلى العقد.
    • يمكن استخدام ميزات الأمان لشبكات Azure الظاهرية مثل مجموعات أمان الشبكة للتحكم في الوصول.

عند إنشاء نظام مجموعة، يمكنك تمكين الوصول العام أو الخاص، أو اختيار الإعداد الافتراضي لعدم الوصول. بمجرد إنشاء نظام المجموعة، يمكنك اختيار التبديل بين الوصول العام أو الخاص، أو تنشيطهما معا في وقت واحد.

تصف هذه الصفحة خيار الوصول الخاص. للوصول العام، راجع هنا.

التعريفات

شبكة ظاهرية. تعد شبكة Azure الافتراضية (VNet) كتلة البناء الأساسية للشبكات الخاصة في Azure. تتيح الشبكات الافتراضية العديد من أنواع موارد Azure، مثل خوادم قواعد البيانات والأجهزة الظاهرية Azure (VM)، للتواصل بشكل آمن مع بعضها بعضًا. تدعم الشبكات الظاهرية الاتصالات المحلية، وتسمح للمضيفين في شبكات ظاهرية متعددة بالتفاعل مع بعضهم البعض من خلال التناظر، وتوفر فوائد إضافية للمقياس وخيارات الأمان والعزل. تتطلب كل نقطة نهاية خاصة لنظام مجموعة شبكة ظاهرية مقترنة.

الشبكة الفرعية. تقسم الشبكات الفرعية الشبكة الافتراضية إلى واحدة أو أكثر من الشبكات الفرعية. تحصل كل شبكة فرعية على جزء من مساحة العنوان، ما يحسن كفاءة تخصيص العناوين. يمكنك تأمين الموارد داخل الشبكات الفرعية باستخدام مجموعات أمان الشبكة. للحصول على مزيٍد من المعلومات، راجع مجموعة أمان الشبكة.

عند تحديد شبكة فرعية لنقطة النهاية الخاصة لنظام المجموعة، تأكد من توفر ما يكفي من عناوين IP الخاصة في تلك الشبكة الفرعية لتلبية احتياجاتك الحالية والمستقبلية.

نقطة النهاية الخاصة. نقطة النهاية الخاصة هي واجهة شبكة تستخدم عنوان IP خاصًا من شبكة ظاهرية. تتصل واجهة الشبكة هذه بشكل خاص وآمن بخدمة مدعومة من Azure Private Link. تجلب نقاط النهاية الخاصة الخدمات إلى شبكتك الافتراضية.

يؤدي تمكين الوصول الخاص ل Azure Cosmos DB ل PostgreSQL إلى إنشاء نقطة نهاية خاصة لعقدة منسق نظام المجموعة. تسمح نقطة النهاية للمضيفين في الشبكة الافتراضية المحددة بالوصول إلى المنسق. يمكنك اختياريًا إنشاء نقاط نهاية خاصة لعقد العمال أيضًا.

منطقة DNS الخاصة. تحل منطقة DNS الخاصة في Azure أسماء المضيفين داخل شبكة ظاهرية مرتبطة، وداخل أي شبكة ظاهرية نظيرة. يتم إنشاء سجلات المجال للعقد في منطقة DNS خاصة محددة لنظام المجموعة الخاصة بها. تأكد من استخدام أسماء النطاقات المؤهلة بالكامل (FQDN) لسلاسل اتصال PostgreSQL الخاصة بالعقد.

يمكنك استخدام نقاط النهاية الخاصة لمجموعاتك للسماح للمضيفين على شبكة ظاهرية (VNet) بالوصول إلى البيانات بأمان عبر ارتباط خاص.

تستخدم نقطة النهاية الخاصة للمجموعة عنوان IP من مساحة عنوان الشبكة الظاهرية. تنتقل نسبة استخدام الشبكة بين المضيفين على الشبكة الظاهرية والعقد عبر ارتباط خاص على شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام.

يمكن للتطبيقات في الشبكة الظاهرية الاتصال بالعقد عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس سلسلة الاتصال وآليات التخويل التي ستستخدمها بخلاف ذلك.

يمكنك تحديد الوصول الخاص أثناء إنشاء نظام المجموعة، ويمكنك التبديل من الوصول العام إلى الوصول الخاص في أي وقت.

استخدام منطقة DNS خاصة

يتم توفير منطقة DNS خاصة جديدة تلقائيا لكل نقطة نهاية خاصة، ما لم تحدد إحدى مناطق DNS الخاصة التي تم إنشاؤها مسبقا بواسطة Azure Cosmos DB ل PostgreSQL. لمزيد من المعلومات، راجع نظرة عامة على مناطق DNS الخاصة.

تنشئ خدمة Azure Cosmos DB for PostgreSQL سجلات DNS كما هو الحال c-mygroup01.12345678901234.privatelink.postgres.cosmos.azure.com في منطقة DNS الخاصة المحددة لكل عقدة بنقطة نهاية خاصة. عند الاتصال بعقدة من Azure VM عبر نقطة نهاية خاصة، يحل Azure DNS FQDN للعقدة إلى عنوان IP خاص.

إعدادات منطقة DNS الخاصة وتنظير الشبكة الظاهرية مستقلان عن بعضهما البعض. إذا كنت ترغب في الاتصال بعقدة في نظام المجموعة من عميل تم توفيره في شبكة ظاهرية أخرى (من نفس المنطقة أو منطقة مختلفة)، يجب عليك ربط منطقة DNS الخاصة بالشبكة الظاهرية. لمزيد من المعلومات، راجع ارتباط الشبكة الظاهرية.

إشعار

كما تقوم الخدمة دائمًا بإنشاء سجلات CNAME عامة مثل c-mygroup01.12345678901234.postgres.cosmos.azure.com لكل عقدة. ومع ذلك، يمكن لأجهزة الكمبيوتر المحددة على الإنترنت العام الاتصال باسم المضيف العام فقط إذا قام مسؤول قاعدة البيانات بتمكين الوصول العام إلى نظام المجموعة.

إذا كنت تستخدم خادم DNS مخصصا، يجب استخدام معيد توجيه DNS لحل FQDN للعقد. يجب أن يكون عنوان IP الخاص بمعيد التوجيه هو 168.63.129.16. يجب أن يكون خادم DNS المخصص داخل الشبكة الظاهرية أو يمكن الوصول إليه عبر إعداد خادم DNS للشبكة الظاهرية. لمعرفة المزيد، راجع تحليل الاسم الذي يستخدم خادم DNS الخاص بك.

التوصيات

عند تمكين الوصول الخاص للمجموعة الخاصة بك، ضع في اعتبارك:

  • حجم الشبكة الفرعية: عند تحديد حجم الشبكة الفرعية لمجموعة، ضع في اعتبارك الاحتياجات الحالية مثل عناوين IP للمنسق أو جميع العقد في تلك المجموعة، والاحتياجات المستقبلية مثل نمو تلك المجموعة.

    تأكد من أن لديك ما يكفي من عناوين IP الخاصة للاحتياجات الحالية والمستقبلية. ضع في اعتبارك أن Azure يحتفظ بخمسة عناوين IP في كل شبكة فرعية.

    راجع المزيد من التفاصيل في هذه الأسئلة الشائعة.

  • منطقة DNS الخاصة: سيتم الاحتفاظ بسجلات DNS بعناوين IP خاصة بواسطة Azure Cosmos DB لخدمة PostgreSQL. تأكد من عدم حذف منطقة DNS الخاصة المستخدمة للمجموعات.

الحدود والقيود

راجع صفحة حدود وقيود Azure Cosmos DB ل PostgreSQL.

الخطوات التالية