Chuyển tới nội dung chính

Kết nối mạng

Phần này mô tả cách các ứng dụng kết nối đến cơ sở dữ liệu trong môi trường DBaaS, bao gồm endpoint, mô hình truy cập và kiểm soát bảo mật mạng.

Database Endpoint

Database Endpoint là điểm truy cập được cung cấp cho các ứng dụng để kết nối đến cơ sở dữ liệu. Tùy thuộc vào mô hình triển khai, endpoint có thể trỏ đến:

  • Một instance cơ sở dữ liệu (Single Node).
  • Một DB Proxy đại diện cho một cụm cơ sở dữ liệu (HA).

Việc sử dụng endpoint tách biệt logic ứng dụng khỏi kiến trúc cơ sở dữ liệu và giảm thiểu tác động của các thay đổi topology hoặc sự kiện failover.

Truy cập Private và Public

FPT Database Engine hỗ trợ hai mô hình truy cập:

  • Private Access: Cơ sở dữ liệu chỉ có thể truy cập trong mạng riêng (VPC/VNet), phù hợp với môi trường yêu cầu bảo mật cao.
  • Public Access: Cơ sở dữ liệu cung cấp một endpoint công khai, cho phép truy cập qua Internet với các kiểm soát bảo mật bổ sung.

Việc lựa chọn mô hình truy cập cần cân nhắc các yêu cầu về bảo mật, hiệu năng và kiến trúc ứng dụng.

Security Groups và Floating IP

Trong môi trường DBaaS, Security Groups và Floating IP được sử dụng để kiểm soát và quản lý truy cập mạng đến cơ sở dữ liệu một cách linh hoạt và an toàn.

Security Groups

Security Group là một tập hợp các quy tắc tường lửa stateful cho phép hoặc từ chối lưu lượng vào và ra đến một instance cơ sở dữ liệu dựa trên:

  • Địa chỉ IP / CIDR
  • Cổng
  • Giao thức

Security Groups thực thi nguyên tắc đặc quyền tối thiểu, chỉ cho phép truy cập cơ sở dữ liệu từ các nguồn được ủy quyền như:

  • Các ứng dụng trong cùng VPC/VNet.
  • Các bastion host hoặc hệ thống quản lý được ủy quyền.

Các thay đổi đối với quy tắc Security Group có hiệu lực ngay lập tức và không yêu cầu khởi động lại cơ sở dữ liệu.

Floating IP

Floating IP là một địa chỉ IP công khai có thể được liên kết hoặc hủy liên kết linh hoạt với một instance cơ sở dữ liệu, cho phép truy cập Internet khi cần. Floating IP thường được sử dụng cho:

  • Kết nối từ các hệ thống bên ngoài (on-premises hoặc dịch vụ bên thứ ba).
  • Truy cập quản trị hoặc vận hành tạm thời.
  • Môi trường kiểm thử và tích hợp.

Khi Floating IP được bật, người dùng phải kết hợp nó với Security Groups để:

  • Hạn chế các dải IP nguồn được phép.
  • Chỉ mở các cổng cơ sở dữ liệu cần thiết (ví dụ: 3306, 5432, 1433).

Lưu ý bảo mật

  • Chỉ nên bật Floating IP khi thực sự cần thiết.
  • Private Access được khuyến nghị cho môi trường production.
  • Luôn áp dụng mức phơi nhiễm tối thiểu khi cấu hình các quy tắc Security Group.
Cập nhật lần cuối vào bởi Dang Tran