Timescale 云:性能、规模、企业级
自托管产品
MST
您可以使用虚拟私有云 (VPC) 对等连接,以确保您的 Timescale 云服务只能通过您安全的 AWS 基础设施访问。这减少了潜在的攻击面并提高了安全性。
确保您的应用程序与 Timescale 云之间高度安全连接的数据隔离架构是
您的客户应用程序在您的 AWS 客户 VPC 内部运行,而您的 Timescale 云服务始终在安全的 Timescale 云 VPC 内部运行。您可以使用专用的对等 VPC 控制您的 VPC 中的应用程序与您的服务之间的安全通信。连接 Timescale 云 VPC 到专用对等 VPC 的 AWS PrivateLink 提供了与直接使用 AWS PrivateLink 连接相同的保护级别。它仅允许从您的客户 VPC 发起与 Timescale 云 VPC 中运行的服务之间的通信。Timescale 云无法发起与您的客户 VPC 的通信。
要配置此安全连接,您首先需要在 Timescale 控制台中创建一个带 AWS PrivateLink 的对等 VPC。在您接受并配置了与客户 VPC 的对等连接后,您可以使用 AWS 安全组限制您的客户 VPC 中对对等 VPC 可见的应用程序。最后一步是在 Timescale 控制台中将单个服务附加到对等 VPC。
- 您在 Timescale 云项目级别上创建每个对等 VPC。
您可以附加
- 最多 50 个客户 VPC 到一个对等 VPC。
- 一次将一个 Timescale 云服务附加到一个对等 VPC。服务和对等 VPC 必须位于相同的 AWS 区域。但是,您可以将位于不同区域的客户 VPC 和对等 VPC 进行对等连接。
- 将多个 Timescale 云服务附加到同一个对等 VPC。
您不能同时将一个 Timescale 云服务附加到多个对等 VPC。
您可以在项目中创建的对等 VPC 数量取决于您的 定价方案。如果您需要另一个对等 VPC,请联系 support@timescale.com
或在 Timescale Console
中更改您的定价方案。
要设置 VPC 对等连接,您需要在您的 AWS 账户中具备以下权限
- 接受 VPC 对等请求
- 配置路由表规则
- 配置安全组和防火墙规则
要使用 VPC 对等连接到 Timescale 云服务,您的应用程序和基础设施必须已在 Amazon Web Services (AWS) VPC 中运行。您可以从任何 AWS 区域对您的 VPC 进行对等连接。但是,您的对等 VPC 必须位于 云支持的区域之一。
在 Timescale 云服务和您的 AWS 基础设施之间创建安全连接的步骤如下
创建 VPC 和对等连接,使您能够在逻辑隔离的虚拟网络中,在 Timescale 云和您的客户 VPC 之间安全地路由流量。
在 Timescale Console > 安全 > VPC
中,点击
Create a VPC
选择您的区域和 IP 范围,命名您的 VPC,然后点击
Create VPC
对等 VPC 和客户 VPC 的 IP 范围不应重叠。
根据需要进行对等连接:
在
VPC Peering
列中,点击Add
。输入您现有客户 VPC 的信息,然后点击
Add Connection
。
您可以附加
- 最多 50 个客户 VPC 到一个对等 VPC。
- 一次将一个 Timescale 云服务附加到一个对等 VPC。服务和对等 VPC 必须位于相同的 AWS 区域。但是,您可以将位于不同区域的客户 VPC 和对等 VPC 进行对等连接。
- 将多个 Timescale 云服务附加到同一个对等 VPC。
您不能同时将一个 Timescale 云服务附加到多个对等 VPC。
您可以在项目中创建的对等 VPC 数量取决于您的 定价方案。如果您需要另一个对等 VPC,请联系 support@timescale.com
或在 Timescale Console
中更改您的定价方案。
Timescale 云会向您的 AWS 账户发送一个对等请求,以便您可以在 AWS 中完成 VPC 连接。
当您在 AWS 中收到 Timescale 云对等请求时,请编辑您的路由表,使其与您的客户 VPC 和对等 VPC 之间的 IP Range
和 CIDR block
匹配。
当您对一个具有多个 CIDR 的 VPC 进行对等连接时,所有 CIDR 都会自动添加到 Timescale 云规则中。完成对等连接后,您的 VPC 的 CIDR 进一步更改不会自动检测到。如果您需要刷新 CIDR,请重新创建对等连接。
请求接受过程是一个重要的安全机制。请勿接受来自未知账户的对等请求。
在 AWS > VPC 控制面板 > 对等连接
中,选择来自 Timescale 云的对等连接请求
将对等连接 ID 复制到剪贴板。连接请求以
pcx-
开头。在对等连接中,点击
Route Tables
,然后选择与您的 VPC 对应的Route Table ID
在
Routes
中,点击Edit routes
您会看到现有目标的列表。
.如果您还没有与您的对等 VPC 的
IP range / CIDR block
相对应的目标,- 点击
Add route
,并设置Destination
:您的对等 VPC 的 CIDR 块。例如:10.0.0.7/17
。Target
:您复制到剪贴板的对等连接 ID。
- 点击
Save changes
。
- 点击
此项目在您的 AWS 账户和 Timescale 云之间的网络流量现已安全。
安全组允许在资源级别上进行特定的入站和出站流量。您可以将一个 VPC 与一个或多个安全组关联,并且您的 VPC 中的每个实例可以属于不同的安全组集。您的 VPC 的安全组选择包括:
- 创建一个仅用于您的 Timescale 云 VPC 的安全组。
- 将您的 VPC 与现有安全组关联。
- 不执行任何操作,您的 VPC 会自动与默认安全组关联。
要为您的 Timescale 云对等 VPC 创建特定的安全组,
在 AWS > VPC 控制面板 > 安全组
中,点击
Create security group
输入此安全组的规则:
VPC
:选择与 Timescale 云对等的 VPC。Inbound rules
:留空。出站规则
:Type
:Custom TCP
Protocol
:TCP
Port range
:5432
Destination
:Custom
Info
:您的 Timescale 云对等 VPC 的 CIDR 块。
点击
Add rule
,然后点击Create security group
现在 Timescale 云已与您的 AWS 基础设施安全通信,您可以将一个或多个服务附加到对等 VPC。
将服务附加到对等 VPC 后,您只能通过对等的 AWS VPC 访问它。它将不再可以通过公共互联网访问。
- 在 Timescale Console > 服务
中,选择要迁移的服务
- 点击
操作
>安全
>VPC
- 选择 VPC,然后点击
附加 VPC
完成,您的服务现在可以在 VPC 中与您的 AWS 账户安全地通信了。
为确保您的应用程序不中断地运行,您可以保持服务连接到对等 VPC。但是,您可以更改服务所连接的对等 VPC,或者断开与对等 VPC 的连接并允许从公共互联网访问该服务。
信息
Timescale Cloud 对连接到对等 VPC 的服务使用不同的 DNS。当您在公共访问和对等 VPC 之间迁移服务时,您需要更新连接字符串。
点击
操作
>安全
>VPC
选择 VPC,然后点击
附加 VPC
迁移需要几分钟才能完成,并且需要更改服务的 DNS 设置。在此期间,服务将不可访问。如果您收到 DNS 错误,请等待一段时间,让 DNS 传播完成。
关键词