Сеть и кластеры БД
При создании кластера вы можете:
-
задать сеть для самого кластера;
-
задать подсети для каждого из хостов кластера;
-
запросить публичный IP-адрес для доступа к кластеру извне Yandex.Cloud.
Вы можете создать кластер, не задавая подсети для хостов, если выбранная для каждого хоста зона доступности содержит ровно одну подсеть сети кластера.
Имя хоста и FQDN
Имя для каждого хоста в кластере Managed Service for PostgreSQL генерирует при его создании. Это имя будет являться доменным именем хоста (FQDN). Имя хоста и, соответственно, FQDN невозможно изменить.
FQDN можно использовать для доступа к хосту в рамках одной облачной сети. Подробнее читайте в документации сервиса Yandex Virtual Private Cloud.
Публичный доступ к хосту
Любой хост в кластере может быть доступен извне Yandex.Cloud, если вы запросили публичный доступ при создании хоста. Чтобы подключиться к такому хосту, используйте его FQDN.
Запросить публичный адрес после создания хоста невозможно, но вы можете заменить какой-либо из имеющихся хостов на новый хост с публичным адресом.
При удалении хоста с публичным FQDN соответствующий этому имени IP-адрес отзывается.
Группы безопасности
Для групп безопасности действует принцип «весь трафик, который не разрешен, запрещен». Поэтому правила групп безопасности облачной сети кластера могут препятствовать подключению к кластеру, если ему назначена одна или несколько групп.
Например, пусть для подключения к кластеру используется ВМ в Yandex.Cloud. Тогда, если в правилах на входящий трафик группы безопасности кластера указана только подсеть 10.133.0.0/24, а ВМ находится в подсети 10.128.0.0/16, то ВМ не сможет подключиться к кластеру. Также не сможет подключиться ВМ из подсети 10.133.0.0/24, которая обращается к порту, не указанному в правилах группы безопасности.
Совет
При подключении к кластеру из той же облачной сети, в которой он находится, не забудьте настроить группы безопасности не только для кластера, но и для хоста, с которого выполняется подключение.
Особенности работы с группами безопасности:
-
Настройки групп безопасности влияют только на возможность подключения к кластеру. Они не влияют на функционирование кластеров: работу репликации, шардирования, возможность снятия резервных копий и другие возможности.
-
Даже если кластер и хост, с которого выполняется подключение, находятся в одной группе безопасности, подключение будет невозможно, если в этой группе не заданы правила, разрешающие прохождение трафика между этим хостом и кластером.
Однако такие правила по умолчанию содержатся в группе безопасности, которая добавляется автоматически при создании облачной сети. Это правила
Self
, разрешающие неограниченное прохождение трафика внутри группы.
Подробнее см. в документации Virtual Private Cloud.