您使用虚拟私有云 (VPC) 对等连接来确保您的 Timescale Cloud 服务只能通过您安全的 AWS 基础设施访问。这减少了潜在的攻击面并提高了安全性。
确保您的应用程序和 Timescale Cloud 之间高度安全连接的数据隔离架构是
您的客户应用程序在您的 AWS 客户 VPC 内运行,您的 Timescale Cloud 服务始终在安全的 Timescale Cloud VPC 内运行。您可以使用专用的对等连接 VPC 控制您的 VPC 中的应用程序和您的服务之间的安全通信。将 Timescale Cloud VPC 连接到专用对等连接 VPC 的 AWS PrivateLink 提供了与使用直接 AWS PrivateLink 连接相同的保护级别。它仅允许从您的客户 VPC 发起与在 Timescale Cloud VPC 中运行的服务的通信。Timescale Cloud 无法发起与您的 VPC 的通信。
要配置此安全连接,您首先需要在 Timescale 控制台中创建带有 AWS PrivateLink 的 Timescale Cloud 对等连接 VPC。在您接受并配置与您的客户 VPC 的对等连接后,您可以使用 AWS 安全组来限制您的客户 VPC 中对对等连接 VPC 可见的服务。最后一步是将各个服务附加到对等连接 VPC。
您在 Timescale Cloud 项目级别 定义每个 Timescale Cloud VPC。
您可以附加
最多 50 个客户 VPC 到一个 Timescale Cloud VPC。
一个 Timescale Cloud 服务一次到一个 Timescale Cloud VPC。
服务和 VPC 必须位于相同的 AWS 区域。但是,您可以对等连接位于不同区域的客户 VPC 和 Timescale Cloud VPC。
多个 Timescale Cloud 服务到相同的 Timescale Cloud VPC。
您不能同时将一个 Timescale Cloud 服务附加到多个 Timescale Cloud VPC。
您可以在您的项目中创建的 Timescale Cloud VPC 的数量取决于您的定价计划。如果您需要另一个 Timescale Cloud VPC,请联系 support@timescale.com 或在 Timescale 控制台 中更改您的定价计划。
为了设置 VPC 对等连接,您需要在您的 AWS 账户中拥有以下权限
- 接受 VPC 对等连接请求
- 配置路由表规则
- 配置安全组和防火墙规则
要使用 VPC 对等连接连接到 Timescale Cloud 服务,您的应用程序和基础设施必须已在 Amazon Web Services (AWS) VPC 中运行。您可以从任何 AWS 区域对等连接您的 VPC。但是,您的 Timescale Cloud VPC 必须在 Cloud 支持的区域 之一内。
在 Timescale Cloud 服务和您的 AWS 基础设施之间创建安全连接的阶段是
创建 VPC 和对等连接,使您能够在逻辑隔离的虚拟网络中安全地路由 Timescale Cloud 和您自己的 VPC 之间的流量。
在 Timescale 控制台 > 安全 > VPC 中,单击
创建 VPC。
您可以附加
- 最多 50 个客户 VPC 到一个 Timescale Cloud VPC。
- 一个 Timescale Cloud 服务一次到一个 Timescale Cloud VPC。
服务和 VPC 必须位于相同的 AWS 区域。但是,您可以对等连接位于不同区域的客户 VPC 和 Timescale Cloud VPC。
- 多个 Timescale Cloud 服务到相同的 Timescale Cloud VPC。
- 您不能同时将一个 Timescale Cloud 服务附加到多个 Timescale Cloud VPC。
您可以在您的项目中创建的 Timescale Cloud VPC 的数量取决于您的定价计划。如果您需要另一个 Timescale Cloud VPC,请联系 support@timescale.com 或在 Timescale 控制台 中更改您的定价计划。
选择您的区域和 IP 范围,命名您的 VPC,然后单击
创建 VPC。
对等连接 VPC 和客户 VPC 的 IP 范围不应重叠。
对于您需要的尽可能多的对等连接
在
VPC 对等连接列中,单击添加。输入有关您现有 AWS VPC 的信息,然后单击
添加连接。
Timescale Cloud 向您的 AWS 账户发送对等连接请求,以便您可以在 AWS 中完成 VPC 连接。
当您在 AWS 中收到 Timescale Cloud 对等连接请求时,编辑您的路由表以匹配您的 AWS 和 Timescale Cloud VPC 之间的 IP 范围 和 CIDR 块。
当您将 VPC 与多个 CIDR 对等连接时,所有 CIDR 都会自动添加到 Timescale Cloud 规则中。完成对等连接后,您的 VPC 的 CIDR 中的进一步更改不会自动检测到。如果您需要刷新 CIDR,请重新创建对等连接。
请求接受过程是一项重要的安全机制。不要接受来自未知账户的对等连接请求。
在 AWS > VPC 控制面板 > 对等连接 中,选择来自 Timescale Cloud 的对等连接请求。
将对等连接 ID 复制到剪贴板。连接请求以
pcx-开头。在对等连接中,单击
路由表,然后选择与您的 VPC 对应的路由表 ID。在
路由中,单击编辑路由。您会看到现有目标的列表。.
如果您还没有与您的 Timescale VPC 的
IP 范围 / CIDR 块对应的目标- 单击
添加路由,并设置目标:您的 Timescale VPC 的 CIDR 块。例如:10.0.0.7/17。目标:您复制到剪贴板的对等连接 ID。
- 单击
保存更改。
- 单击
您的 AWS 账户和 Timescale Cloud 之间针对此项目的网络流量是安全的。
安全组允许在资源级别进行特定的入站和出站流量。您可以将 VPC 与一个或多个安全组关联,并且您的 VPC 中的每个实例可能属于不同的安全组集。您的 VPC 的安全组选择是
- 创建一个仅用于您的 Timescale Cloud VPC 的安全组。
- 将您的 VPC 与现有的安全组关联。
- 不执行任何操作,您的 VPC 将自动与默认安全组关联。
要创建特定于您的 Timescale Cloud VPC 的安全组
AWS > VPC 控制面板 > 安全组,单击
创建安全组。输入此安全组的规则
VPC:选择与 Timescale 对等连接的 VPC。入站规则:留空。出站规则:类型:自定义 TCP协议:TCP端口范围:5432目标:自定义信息:您的 Timescale Cloud VPC 的 CIDR 块。
单击
添加规则,然后单击创建安全组。
现在 Timescale Cloud 正在与您的 AWS 基础设施安全通信,您可以将一个或多个服务附加到 VPC。
将服务附加到 VPC 后,您只能通过对等连接的 AWS VPC 访问它。它不再可以通过公共互联网访问。
- 在 Timescale 控制台 > 服务 中,选择您要连接到 VPC 的服务。
- 单击
安全>VPC。 - 选择 VPC,然后单击
附加 VPC。
就这样,您的服务现在正在 VPC 内与您的 AWS 账户安全通信。
为了确保您的应用程序继续不间断地运行,您将服务保持附加到 VPC。但是,您可以更改您的服务附加到的 VPC,或从 VPC 断开连接并启用从公共互联网访问服务。
信息
Timescale Cloud 为附加到 VPC 的服务使用不同的 DNS。当您在公共访问和 VPC 之间迁移服务时,您需要更新您的连接字符串。
在 Timescale 控制台 > 服务 中,选择要迁移的服务。
如果您没有服务,创建一个新的服务。
单击
安全>VPC。选择 VPC,然后单击
附加 VPC。
迁移需要几分钟才能完成,并且需要更改服务的 DNS 设置。在此期间,该服务不可访问。如果您收到 DNS 错误,请等待一段时间以进行 DNS 传播。
关键词
在此页面上发现问题?报告问题 或 在 GitHub 上编辑此页面。