Timescale 云:性能、规模、企业级

自托管产品

MST

您可以使用虚拟私有云 (VPC) 对等连接,以确保您的 Timescale 云服务只能通过您安全的 AWS 基础设施访问。这减少了潜在的攻击面并提高了安全性。

确保您的应用程序与 Timescale 云之间高度安全连接的数据隔离架构是

Timescale Cloud isolation architecture

您的客户应用程序在您的 AWS 客户 VPC 内部运行,而您的 Timescale 云服务始终在安全的 Timescale 云 VPC 内部运行。您可以使用专用的对等 VPC 控制您的 VPC 中的应用程序与您的服务之间的安全通信。连接 Timescale 云 VPC 到专用对等 VPC 的 AWS PrivateLink 提供了与直接使用 AWS PrivateLink 连接相同的保护级别。它仅允许从您的客户 VPC 发起与 Timescale 云 VPC 中运行的服务之间的通信。Timescale 云无法发起与您的客户 VPC 的通信。

要配置此安全连接,您首先需要在 Timescale 控制台中创建一个带 AWS PrivateLink 的对等 VPC。在您接受并配置了与客户 VPC 的对等连接后,您可以使用 AWS 安全组限制您的客户 VPC 中对对等 VPC 可见的应用程序。最后一步是在 Timescale 控制台中将单个服务附加到对等 VPC。

  • 可以附加

    • 最多 50 个客户 VPC 到一个对等 VPC。
    • 一次将一个 Timescale 云服务附加到一个对等 VPC。服务和对等 VPC 必须位于相同的 AWS 区域。但是,您可以将位于不同区域的客户 VPC 和对等 VPC 进行对等连接。
    • 将多个 Timescale 云服务附加到同一个对等 VPC。
  • 不能同时将一个 Timescale 云服务附加到多个对等 VPC。

    您可以在项目中创建的对等 VPC 数量取决于您的 定价方案。如果您需要另一个对等 VPC,请联系 support@timescale.com 或在 Timescale Console 中更改您的定价方案。

要设置 VPC 对等连接,您需要在您的 AWS 账户中具备以下权限

  • 接受 VPC 对等请求
  • 配置路由表规则
  • 配置安全组和防火墙规则

要使用 VPC 对等连接到 Timescale 云服务,您的应用程序和基础设施必须已在 Amazon Web Services (AWS) VPC 中运行。您可以从任何 AWS 区域对您的 VPC 进行对等连接。但是,您的对等 VPC 必须位于 云支持的区域之一。

在 Timescale 云服务和您的 AWS 基础设施之间创建安全连接的步骤如下

  1. 在 Timescale 控制台中创建对等 VPC
  2. 在您的 AWS 中完成 VPC 连接
  3. 在您的 AWS 中设置安全组
  4. 将 Timescale 云服务附加到对等 VPC

创建 VPC 和对等连接,使您能够在逻辑隔离的虚拟网络中,在 Timescale 云和您的客户 VPC 之间安全地路由流量。

  1. Timescale Console > 安全 > VPC 中,点击 Create a VPC

    Timescale Cloud new VPC

  2. 选择您的区域和 IP 范围,命名您的 VPC,然后点击 Create VPC

    Create a new VPC in Timescale Cloud

    对等 VPC 和客户 VPC 的 IP 范围不应重叠。

  3. 根据需要进行对等连接:

    1. VPC Peering 列中,点击 Add

    2. 输入您现有客户 VPC 的信息,然后点击 Add Connection

      Add peering

    • 可以附加

      • 最多 50 个客户 VPC 到一个对等 VPC。
      • 一次将一个 Timescale 云服务附加到一个对等 VPC。服务和对等 VPC 必须位于相同的 AWS 区域。但是,您可以将位于不同区域的客户 VPC 和对等 VPC 进行对等连接。
      • 将多个 Timescale 云服务附加到同一个对等 VPC。
    • 不能同时将一个 Timescale 云服务附加到多个对等 VPC。

      您可以在项目中创建的对等 VPC 数量取决于您的 定价方案。如果您需要另一个对等 VPC,请联系 support@timescale.com 或在 Timescale Console 中更改您的定价方案。

Timescale 云会向您的 AWS 账户发送一个对等请求,以便您可以在 AWS 中完成 VPC 连接

当您在 AWS 中收到 Timescale 云对等请求时,请编辑您的路由表,使其与您的客户 VPC 和对等 VPC 之间的 IP RangeCIDR block 匹配。

当您对一个具有多个 CIDR 的 VPC 进行对等连接时,所有 CIDR 都会自动添加到 Timescale 云规则中。完成对等连接后,您的 VPC 的 CIDR 进一步更改不会自动检测到。如果您需要刷新 CIDR,请重新创建对等连接。

请求接受过程是一个重要的安全机制。请勿接受来自未知账户的对等请求。

  1. AWS > VPC 控制面板 > 对等连接 中,选择来自 Timescale 云的对等连接请求

    将对等连接 ID 复制到剪贴板。连接请求以 pcx- 开头。

  2. 在对等连接中,点击 Route Tables,然后选择与您的 VPC 对应的 Route Table ID

  3. Routes 中,点击 Edit routes

    您会看到现有目标的列表。

    Create a new VPC route
    .

    如果您还没有与您的对等 VPC 的 IP range / CIDR block 相对应的目标,

    1. 点击 Add route,并设置
      • Destination:您的对等 VPC 的 CIDR 块。例如:10.0.0.7/17
      • Target:您复制到剪贴板的对等连接 ID。
    2. 点击 Save changes

此项目在您的 AWS 账户和 Timescale 云之间的网络流量现已安全。

安全组允许在资源级别上进行特定的入站和出站流量。您可以将一个 VPC 与一个或多个安全组关联,并且您的 VPC 中的每个实例可以属于不同的安全组集。您的 VPC 的安全组选择包括:

  • 创建一个仅用于您的 Timescale 云 VPC 的安全组。
  • 将您的 VPC 与现有安全组关联。
  • 不执行任何操作,您的 VPC 会自动与默认安全组关联。

要为您的 Timescale 云对等 VPC 创建特定的安全组,

  1. AWS > VPC 控制面板 > 安全组 中,点击 Create security group

  2. 输入此安全组的规则:

    The AWS Security Groups dashboard
    • VPC:选择与 Timescale 云对等的 VPC。
    • Inbound rules:留空。
    • 出站规则:
      • TypeCustom TCP
      • ProtocolTCP
      • Port range5432
      • DestinationCustom
      • Info:您的 Timescale 云对等 VPC 的 CIDR 块。
  3. 点击 Add rule,然后点击 Create security group

现在 Timescale 云已与您的 AWS 基础设施安全通信,您可以将一个或多个服务附加到对等 VPC。

将服务附加到对等 VPC 后,您只能通过对等的 AWS VPC 访问它。它将不再可以通过公共互联网访问。

  1. Timescale Console > 服务 中,选择要迁移的服务
  2. 点击 操作 > 安全 > VPC
  3. 选择 VPC,然后点击 附加 VPC

完成,您的服务现在可以在 VPC 中与您的 AWS 账户安全地通信了。

为确保您的应用程序不中断地运行,您可以保持服务连接到对等 VPC。但是,您可以更改服务所连接的对等 VPC,或者断开与对等 VPC 的连接并允许从公共互联网访问该服务。

信息

Timescale Cloud 对连接到对等 VPC 的服务使用不同的 DNS。当您在公共访问和对等 VPC 之间迁移服务时,您需要更新连接字符串。

  1. Timescale 控制台 > 服务创建一个新服务

  2. 点击 操作 > 安全 > VPC

  3. 选择 VPC,然后点击 附加 VPC

迁移需要几分钟才能完成,并且需要更改服务的 DNS 设置。在此期间,服务将不可访问。如果您收到 DNS 错误,请等待一段时间,让 DNS 传播完成。

关键词

此页面有问题?报告问题 或 编辑此页面 在 GitHub 上。