使用 VPC 对等连接和 AWS PrivateLink 保护您的 Timescale 服务

您可以使用虚拟私有云 (VPC) 对等连接来确保您的 Timescale 服务只能通过您的安全 AWS 基础设施访问。 这减少了潜在的攻击面并提高了安全性。

确保您的应用程序与 Timescale 之间高度安全连接的数据隔离架构

展开图像

您的应用程序在 AWS 客户 VPC 中运行，您的 Timescale 服务始终在安全的 Timescale VPC 中运行。 您可以使用专用的对等连接 VPC 控制 VPC 中的应用程序与 Timescale 服务之间的安全通信。 将 Timescale VPC 连接到专用对等连接 VPC 的 AWS PrivateLink 提供与使用直接 AWS PrivateLink 连接相同的保护级别。 它只允许从您的客户 VPC 发起到 Timescale VPC 中运行的 Timescale 服务的通信。 Timescale 无法与您的 VPC 发起通信。

要配置此安全连接，您首先在 Timescale 中使用 AWS PrivateLink 创建对等连接 VPC。 在接受并配置与客户 VPC 的对等连接后，您可以使用 AWS 安全组来限制对等连接 VPC 可见的对等连接 VPC 中的服务。 最后一步是将各个 Timescale 服务附加到对等连接 VPC。

您可以在每个项目中运行三个 VPC，每个 Timescale VPC 可以拥有您需要的任意多个对等连接。 如果您需要更多 VPC，请单击 Timescale 控制台中的“支持”并请求配额增加。

为了设置 VPC 对等连接，您需要在您的 AWS 帐户中具有以下权限

• 接受 VPC 对等连接请求
• 配置路由表规则
• 配置安全组和防火墙规则

要使用 VPC 对等连接连接到 Timescale 服务，您的应用程序和基础设施必须已经在 Amazon Web Services (AWS) VPC 中运行。 您可以从任何 AWS 区域对等您的 VPC。 但是，您的 Timescale VPC 必须位于云支持的区域之一中。

在 Timescale 服务和您的 AWS 基础设施之间创建安全连接的阶段是

1. 在 Timescale 中创建一个对等连接 VPC
2. 在您的 AWS 中完成 VPC 连接
3. 在您的 AWS 中设置安全组
4. 将 Timescale 服务附加到对等连接 VPC

创建 VPC 和对等连接，使您能够在逻辑上隔离的虚拟网络中安全地将流量路由到 Timescale 和您自己的 VPC 之间。

当您在 AWS 中收到 Timescale 对等连接请求时，编辑您的路由表以匹配 AWS 和 Timescale VPC 之间的“IP 范围”和“CIDR 块”。

请求接受过程是一个重要的安全机制。 请勿接受来自未知帐户的对等连接请求。

安全组允许在资源级别进行特定的入站和出站流量。 您可以将一个或多个安全组与 VPC 关联，并且 VPC 中的每个实例可能属于不同的安全组集。 VPC 的安全组选择是

• 创建一个仅用于 Timescale VPC 的安全组。
• 将您的 VPC 与现有安全组关联。
• 不执行任何操作，您的 VPC 将自动与默认安全组关联。

现在 Timescale 正在与您的 AWS 基础设施安全通信，您可以将一个或多个 Timescale 服务附加到 VPC。

将 Timescale 服务附加到 VPC 后，您只能通过对等的 AWS VPC 访问它。 它不再可以通过公共互联网访问。

就是这样，您的 Timescale 服务现在正在 VPC 内与您的 AWS 帐户安全通信。

为了确保您的应用程序能够持续运行而不会中断，您将 Timescale 服务附加到 VPC。 但是，您可以更改 Timescale 服务附加到的 VPC，或者断开与 VPC 的连接并允许从公共互联网访问 Timescale 服务。

迁移需要几分钟才能完成，并且需要更改服务的 DNS 设置。 在此期间，无法访问该服务。 如果您收到 DNS 错误，请等待 DNS 传播一段时间。