قاعدة بيانات Azure لشبكات PostgreSQL باستخدام Private Link

يسمح لك Azure Private Link بإنشاء نقاط نهاية خاصة لقاعدة بيانات Azure لمثيل خادم PostgreSQL المرن لإحضاره داخل شبكتك الظاهرية. هذه الوظيفة هي بديل موصى به لقدرات الشبكات التي يوفرها تكامل الشبكة الظاهرية.

باستخدام Private Link، تعبر نسبة استخدام الشبكة بين شبكتك الظاهرية والخدمة شبكة Microsoft الأساسية. لم يعد تعريض خدمتك للإنترنت العام ضروريًّا. ويمكنك أيضًا إنشاء خدمة Private Link في شبكتك الظاهرية وتقديمها إلى عملائك. الإعداد والاستهلاك باستخدام Private Link متسقان عبر Azure PaaS وخدمات الشركاء المملوكة للعميل والمشتركة.

يتم عرض Private Link للمستخدمين من خلال نوعين من موارد Azure:

• نقاط النهاية الخاصة (Microsoft.Network/PrivateEndpoints)
• خدمات Private Link (Microsoft.Network/PrivateLinkServices)

نقاط النهاية الخاصة

تضيف نقطة النهاية الخاصة واجهة شبكة إلى مورد، ما يوفر لها عنوان IP خاصا معينا من شبكتك الظاهرية. بعد تطبيقه، يمكنك الاتصال بهذا المورد حصريا عبر الشبكة الظاهرية. للحصول على قائمة بخدمات PaaS التي تدعم وظيفة Private Link، راجع وثائق Private Link. نقطة النهاية الخاصة هي عنوان IP خاص داخل شبكة ظاهرية معينة وشبكة فرعية.

يمكن أن تشير نقاط النهاية الخاصة المتعددة في شبكات ظاهرية أو شبكات فرعية مختلفة، حتى إذا كانت تحتوي على مساحات عناوين متداخلة، إلى مثيل الخدمة العامة نفسه.

المزايا الرئيسية للرابط الخاص

يوفر Private Link المزايا التالية:

• الوصول الخاص إلى الخدمات على النظام الأساسي ل Azure: قم بتوصيل شبكتك الظاهرية باستخدام نقاط النهاية الخاصة بجميع الخدمات التي يمكن استخدامها كمكونات تطبيق في Azure. يمكن لموفري الخدمات تقديم خدماتهم في شبكتهم الظاهرية الخاصة. يمكن للمستهلكين الوصول إلى هذه الخدمات في شبكتهم الظاهرية المحلية. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية.
• الشبكات المحلية والشبكات النظيرة: خدمات الوصول التي تعمل في Azure من أماكن العمل عبر نظير Azure ExpressRoute الخاص وأنفاق الشبكة الظاهرية الخاصة (VPN) والشبكات الظاهرية المتناظرة باستخدام نقاط النهاية الخاصة. ليس هناك حاجة لتكوين برنامج ExpressRoute Microsoft أو اجتياز الإنترنت للوصول إلى الخدمة. يوفر الارتباط الخاص طريقة آمنة لترحيل أحمال العمل إلى Azure.
• الحماية من تسرب البيانات:يتم تعيين نقطة نهاية خاصة إلى مثيل لمورد PaaS بدلًا من الخدمة بأكملها. يمكن للعملاء الاتصال فقط بالمورد المحدد. يجري حظر الوصول إلى أي مورد آخر في الخدمة. توفر هذه الآلية الحماية ضد مخاطر تسرب البيانات.
• الوصول العالمي: الاتصال بشكل خاص بالخدمات التي تعمل في مناطق أخرى: يمكن أن تكون الشبكة الظاهرية للمستهلك في المنطقة أ. يمكنه الاتصال بالخدمات الموجودة خلف Private Link في المنطقة B.

حالات استخدام الارتباط الخاص مع قاعدة بيانات Azure ل PostgreSQL

يمكن للعملاء الاتصال بنقطة النهاية الخاصة من:

• نفس الشبكة الظاهرية.
• شبكة ظاهرية نظيرة في نفس المنطقة أو عبر المناطق.
• اتصال من شبكة إلى شبكة عبر المناطق.

يمكن للعملاء أيضا الاتصال من أماكن العمل باستخدام ExpressRoute أو التناظر الخاص أو نفق VPN. يوضح الرسم التخطيطي المبسط التالي حالات الاستخدام الشائعة.

الميزات المدعومة ل Private Link

فيما يلي مصفوفة توفر عبر الميزات لنقاط النهاية الخاصة في قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

ميزة	التوافر	ملاحظات
التوافر العالي	‏‏نعم‬	يعمل كما هو مصمم.
قراءة النسخة المتماثلة	‏‏نعم‬	يعمل كما هو مصمم.
قراءة النسخة المتماثلة مع نقاط النهاية الظاهرية	‏‏نعم‬	يعمل كما هو مصمم.
استعادة النقطة الزمنية	‏‏نعم‬	يعمل كما هو مصمم.
السماح أيضا بالوصول العام/عبر الإنترنت باستخدام قواعد جدار الحماية	‏‏نعم‬	يعمل كما هو مصمم.
ترقية الإصدار الرئيسي	‏‏نعم‬	يعمل كما هو مصمم.
مصادقة Microsoft Entra	‏‏نعم‬	يعمل كما هو مصمم.
تجمع الاتصال مع PGBouncer	‏‏نعم‬	يعمل كما هو مصمم.
DNS لنقطة النهاية الخاصة	‏‏نعم‬	يعمل كما هو مصمم وموثق.
التشفير باستخدام المفاتيح المُدارة بواسطة العملاء	‏‏نعم‬	يعمل كما هو مصمم.

لا يمكن تكوين نقاط النهاية الخاصة إلا للخوادم التي تم إنشاؤها بعد أن قدمت قاعدة بيانات Azure ل PostgreSQL دعم الارتباط الخاص، والتي تم تكوين وضع الشبكة الخاصة بها بحيث لا تستخدم تكامل الشبكة الظاهرية ولكن الوصول العام.

الخوادم التي تم إنشاؤها قبل ذلك التاريخ، والتي تم تكوين وضع الشبكات الخاص بها لعدم استخدام تكامل الشبكة الظاهرية ولكن الوصول العام، لا تدعم بعد إنشاء نقاط نهاية خاصة. استخدام نقاط النهاية الخاصة غير مدعوم حاليا على الخوادم التي تم إنشاؤها مع تكامل الشبكة الظاهرية.

الاتصال من جهاز Azure الظاهري في شبكة ظاهرية نظيرة

قم بتكوين تناظر الشبكة الظاهرية لإنشاء اتصال بقاعدة بيانات Azure لمثيل خادم مرن PostgreSQL من جهاز ظاهري Azure (VM) في شبكة ظاهرية نظيرة.

الاتصال من جهاز Azure الظاهري في بيئة شبكة إلى شبكة

قم بتكوين اتصال بوابة VPN من شبكة إلى شبكة لإنشاء اتصال بقاعدة بيانات Azure لمثيل خادم مرن PostgreSQL من جهاز Azure الظاهري في منطقة أو اشتراك مختلف.

الاتصال من بيئة محلية عبر VPN

لإنشاء اتصال من بيئة محلية إلى Azure Database for PostgreSQL مثيل الخادم المرن، اختر أحد الخيارات وقم بتنفيذه:

• اتصال من نقطة إلى موقع
• اتصالات VPN من موقع إلى موقع
• دائرة ExpressRoute

أمان الشبكة والارتباط الخاص

عند استخدام نقاط النهاية الخاصة، يتم تأمين حركة المرور إلى مورد ارتباط خاص. يتحقق النظام الأساسي من صحة اتصالات الشبكة، ما يسمح فقط بتلك الاتصالات التي تصل إلى مورد الارتباط الخاص المحدد. للوصول إلى المزيد من الموارد الفرعية داخل نفس خدمة Azure، يلزم وجود المزيد من نقاط النهاية الخاصة مع الأهداف المقابلة. على سبيل المثال، بالنسبة إلى Azure Storage، ستحتاج إلى نقاط نهاية خاصة منفصلة للوصول إلى الملف والمورد الفرعي للكائنات الثنائية كبيرة الحجم.

توفر نقاط النهاية الخاصة عنوان IP يمكن الوصول إليه بشكل خاص لخدمة Azure ولكن لا تقيد بالضرورة وصول الشبكة العامة إليها. ومع ذلك، تتطلب جميع خدمات Azure الأخرى تحكما آخر في الوصول. توفر عناصر التحكم هذه طبقة أمان إضافية للشبكة لمواردك، ما يوفر الحماية التي تساعد على منع الوصول إلى خدمة Azure المرتبطة بمورد الارتباط الخاص.

تدعم نقاط النهاية الخاصة نُهج الشبكة. تمكن نهج الشبكة الدعم لمجموعات أمان الشبكة (NSGs) والمسارات المعرفة من قبل المستخدم (UDRs) ومجموعات أمان التطبيقات (ASGs). لمزيد من المعلومات حول تمكين نُهج الشبكة لنقطة نهاية خاصة، راجع إدارة نُهج الشبكة لنقاط النهاية الخاصة. لاستخدام ASG مع نقطة نهاية خاصة، راجع تكوين مجموعة أمان تطبيق بنقطة نهاية خاصة.

Private Link وDNS

عند استخدام نقطة نهاية خاصة، تحتاج إلى الاتصال بنفس خدمة Azure ولكن استخدام عنوان IP لنقطة النهاية الخاصة. يتطلب اتصال نقطة النهاية الحميمة إعدادات نظام أسماء المجالات (DNS) منفصلة لحل عنوان IP الخاص إلى اسم المورد.

توفر مناطق DNS الخاصة تحليل اسم المجال داخل شبكة ظاهرية دون حل DNS مخصص. يمكنك ربط مناطق DNS الخاصة بكل شبكة ظاهرية لتوفير خدمات DNS لتلك الشبكة.

توفر مناطق DNS الخاصة أسماء مناطق DNS منفصلة لكل خدمة Azure. على سبيل المثال، إذا قمت بتكوين منطقة DNS خاصة لخدمة blob لحساب التخزين في الصورة السابقة، فإن اسم منطقة DNS هو privatelink.blob.core.windows.net. راجع وثائق Microsoft للاطلاع على المزيد من أسماء مناطق DNS الخاصة لجميع خدمات Azure.

إشعار

تنشئ تكوينات منطقة DNS الخاصة بنقطة النهاية الخاصة تلقائيا فقط إذا كنت تستخدم نظام التسمية الموصى به: privatelink.postgres.database.azure.com. على خوادم الوصول العام المتوفرة حديثا (غير المتكاملة للشبكة الظاهرية)، هناك تغيير في تخطيط DNS. يصبح FQDN الخاص بالخادم الآن سجل CNAME في النموذج servername.postgres.database.azure.com الذي يشير إلى سجل A بأحد التنسيقات التالية:

1. إذا كان الخادم يحتوي على نقطة نهاية خاصة مع منطقة DNS خاصة افتراضية مرتبطة، يستخدم السجل A هذا التنسيق: server_name.privatelink.postgres.database.azure.com.
2. إذا لم يكن لدى الخادم نقاط نهاية خاصة، فإن السجل A يستخدم هذا التنسيق server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.

نظام أسماء النطاقات المختلط (DNS) ل Azure والموارد المحلية

DNS هي مقالة تصميم هامة في بنية منطقة الهبوط الشاملة. قد ترغب بعض المؤسسات في استخدام استثماراتها الحالية في DNS. قد يرغب آخرون في اعتماد قدرات Azure الأصلية لجميع احتياجات DNS الخاصة بهم.

يمكنك استخدام Azure DNS Private Resolver جنبا إلى جنب مع مناطق Azure Private DNS لتحليل الاسم عبر أماكن العمل. يمكن لمحلل DNS الخاص إعادة توجيه طلب DNS إلى خادم DNS آخر ويوفر أيضا عنوان IP يمكن استخدامه من قبل خادم DNS خارجي لإعادة توجيه الطلبات. لذلك، يمكن لخوادم DNS المحلية الخارجية حل الأسماء الموجودة في منطقة DNS خاصة.

لمزيد من المعلومات حول استخدام محلل DNS الخاص مع معاد توجيه DNS محلي لإعادة توجيه حركة مرور DNS إلى Azure DNS، راجع:

• تكامل DNS لنقطة النهاية الخاصة في Azure
• إنشاء بنية أساسية خاصة ل DNS لنقطة النهاية باستخدام Azure Private Resolver لحمل عمل محلي

تعمل الحلول الموضحة على توسيع شبكة محلية لديها بالفعل حل DNS في مكانه لحل الموارد في Azure.Microsoft البنية.

تكامل Private Link وDNS في بنيات شبكة النظام المحوري

عادة ما تتم استضافة مناطق DNS الخاصة مركزيا في نفس اشتراك Azure حيث يتم نشر الشبكة الظاهرية المركزية. تعتمد ممارسة الاستضافة المركزية هذه على تحليل اسم DNS الداخلي واحتياجات أخرى لدقة DNS المركزية، مثل Microsoft Entra. في معظم الحالات، يكون لدى مسؤولي الشبكات والهوية فقط أذونات لإدارة سجلات DNS في المناطق.

في هذه البنية، يتم تكوين المكونات التالية:

• تحتوي خوادم DNS المحلية على معاد توجيه شرطي تم تكوينه لكل منطقة DNS عامة لنقطة النهاية الخاصة، مشيرا إلى محلل DNS الخاص المستضاف في الشبكة الظاهرية للمركز.
• يستخدم محلل DNS الخاص المستضاف في الشبكة الظاهرية المركزية DNS المقدم من Azure (168.63.129.16) كمرسل توجيه.
• يجب ربط الشبكة الظاهرية للمركز بأسماء مناطق DNS الخاصة لخدمات Azure (على سبيل المثال privatelink.postgres.database.azure.com، لقاعدة بيانات Azure لمثيل خادم مرن PostgreSQL).
• تستخدم جميع شبكات Azure الظاهرية محلل DNS الخاص المستضاف في الشبكة الظاهرية للمركز.
• محلل DNS الخاص غير موثوق لمجالات الشركة للعميل لأنه مجرد معيد توجيه (على سبيل المثال، أسماء مجالات Microsoft Entra)، يجب أن يكون لديه معيدات توجيه نقطة النهاية الصادرة إلى مجالات الشركة الخاصة بالعميل، مشيرا إلى خوادم DNS المحلية، أو خوادم DNS المنشورة في Azure الموثوق بها لمثل هذه المناطق.

الارتباط الخاص ومجموعات أمان الشبكة

بشكل افتراضي، يتم تعطيل نهج الشبكة لشبكة فرعية في شبكة ظاهرية. لاستخدام نهج الشبكة مثل دعم UDRs وNSGs، يجب تمكين دعم نهج الشبكة للشبكة الفرعية. ينطبق هذا الإعداد فقط على نقاط النهاية الخاصة داخل الشبكة الفرعية. يؤثر هذا الإعداد على جميع نقاط النهاية الخاصة داخل الشبكة الفرعية. بالنسبة للموارد الأخرى في الشبكة الفرعية، يتم التحكم في الوصول استنادا إلى قواعد الأمان في NSG.

يمكنك تمكين نهج الشبكة ل NSGs فقط أو ل UDRs فقط أو لكليهما. لمزيد من المعلومات، راجع إدارة نهج الشبكة لنقاط النهاية الخاصة.

يتم سرد القيود المفروضة على مجموعات أمان الشبكة ونقاط النهاية الخاصة في ما هي نقطة النهاية الخاصة؟.

هام

الحماية من تسرب البيانات:يتم تعيين نقطة نهاية خاصة إلى مثيل لمورد PaaS بدلًا من الخدمة بأكملها. يمكن للعملاء الاتصال فقط بالمورد المحدد. يجري حظر الوصول إلى أي مورد آخر في الخدمة. توفر هذه الآلية الحماية الأساسية من مخاطر تسرب البيانات.

اقتران Private Link مع قواعد جدار الحماية

من الممكن أن تحدث الحالات والنتائج التالية عندما تستخدم Private Link مع قواعد جدار الحماية:

• إذا لم تقم بتكوين أي قواعد جدار حماية، فلن تتمكن نسبة استخدام الشبكة بشكل افتراضي من الوصول إلى قاعدة بيانات Azure لمثيل الخادم المرن PostgreSQL.

• إذا قمت بتكوين حركة المرور العامة أو نقطة نهاية الخدمة وقمت بإنشاء نقاط نهاية خاصة، يتم تخويل أنواع مختلفة من نسبة استخدام الشبكة الواردة بواسطة النوع المقابل من قاعدة جدار الحماية.

• إذا لم تقم بتكوين أي نسبة استخدام في الشبكة العامة أو نقطة نهاية خدمة وقمت بإنشاء نقاط نهاية خاصة، فلا يمكن الوصول إلى مثيل الخادم المرن Azure Database for PostgreSQL إلا من خلال نقاط النهاية الخاصة. إذا لم تقم بتكوين نسبة استخدام الشبكة العامة أو نقطة نهاية الخدمة، فبعد رفض جميع نقاط النهاية الخاصة المعتمدة أو حذفها، فلن تتمكن أي نسبة استخدام استخدام في الوصول إلى قاعدة بيانات Azure لمثيل خادم PostgreSQL المرن.

استكشاف الأخطاء وإصلاحها

عند استخدام نقاط نهاية الارتباط الخاص مع قاعدة بيانات Azure لمثيل خادم مرن PostgreSQL، قد تحدث مشكلات الاتصال بسبب التكوينات الخاطئة أو قيود الشبكة. لاستكشاف هذه المشكلات وإصلاحها، تحقق من إعداد نقاط النهاية الخاصة وتكوينات DNS ومجموعات أمان الشبكة (NSGs) وجداول التوجيه. يمكن أن يساعدك المعالجة المنهجية لهذه المجالات على تحديد المشكلات الشائعة وحلها، وضمان الاتصال السلس وتأمين الوصول إلى قاعدة البيانات الخاصة بك.

مشكلات الاتصال مع الشبكات الخاصة المستندة إلى نقطة النهاية

إذا كانت لديك مشكلات في الاتصال عند استخدام الشبكات الخاصة المستندة إلى نقطة النهاية، فتحقق من المناطق التالية:

• التحقق من تعيينات عنوان IP: تحقق من أن نقطة النهاية الخاصة تحتوي على عنوان IP الصحيح المعين وأنه لا توجد تعارضات مع الموارد الأخرى. لمزيد من المعلومات حول نقاط النهاية الخاصة وIP، راجع إدارة نقاط النهاية الخاصة ل Azure.
• تحقق من NSGs: راجع قواعد NSG للشبكة الفرعية لنقطة النهاية الخاصة للتأكد من السماح بنسبة استخدام الشبكة الضرورية وليس لديها قواعد متعارضة. لمزيد من المعلومات حول مجموعات أمان الشبكة، راجع مجموعات أمان الشبكة.
• التحقق من صحة تكوين جدول التوجيه: تأكد من تكوين جداول التوجيه المقترنة بالشبكة الفرعية لنقطة النهاية الخاصة والموارد المتصلة بشكل صحيح مع المسارات المناسبة.
• استخدام مراقبة الشبكة والتشخيصات: استخدم Azure Network Watcher لمراقبة حركة مرور الشبكة وتشخيصها باستخدام أدوات مثل Connection Monitor أو Packet Capture. لمزيد من المعلومات حول تشخيص الشبكة، راجع ما هو Azure Network Watcher؟.

تتوفر أيضا مزيد من المعلومات حول استكشاف أخطاء نقاط النهاية الخاصة وإصلاحها في استكشاف مشكلات اتصال نقطة النهاية الخاصة في Azure وإصلاحها.

دقة DNS مع الشبكات الخاصة المستندة إلى نقطة النهاية

إذا كانت لديك مشكلات في حل DNS عند استخدام الشبكات الخاصة المستندة إلى نقطة النهاية، فتحقق من المناطق التالية:

• التحقق من صحة دقة DNS: تحقق مما إذا كان خادم DNS أو الخدمة المستخدمة من قبل نقطة النهاية الخاصة والموارد المتصلة تعمل بشكل صحيح. تأكد من دقة إعدادات DNS لنقطة النهاية الخاصة. لمزيد من المعلومات حول نقاط النهاية الخاصة وإعدادات منطقة DNS، راجع قيم منطقة DNS الخاصة بنقطة النهاية الخاصة ل Azure.
• مسح ذاكرة التخزين المؤقت DNS: قم بإلغاء تحديد ذاكرة التخزين المؤقت DNS على نقطة النهاية الخاصة أو جهاز العميل لضمان استرداد أحدث معلومات DNS ولتجنب الأخطاء غير المتسقة.
• تحليل سجلات DNS: راجع سجلات DNS لرسائل الخطأ أو الأنماط غير العادية، مثل فشل استعلام DNS أو أخطاء الخادم أو المهلات. لمزيد من التفاصيل حول مقاييس DNS، راجع مقاييس وتنبيهات Azure DNS.

القيود والتنازلات

• لا يمكن تكوين نقاط النهاية الخاصة إلا للخوادم التي تم إنشاؤها بعد إدخال Private Link. الخوادم التي تستخدم تكامل الشبكة الظاهرية (VNet) غير مؤهلة لتكوين نقطة النهاية الخاصة.

• لا يقتصر عدد نقاط النهاية الخاصة على خدمة قاعدة البيانات نفسها ولكن بدلا من ذلك بواسطة قيود شبكة Azure - على وجه التحديد، عدد نقاط النهاية الخاصة التي يمكن إدخالها في شبكة فرعية معينة داخل VNet 3.

• يمكن للأجهزة الظاهرية الاتصال بقاعدة البيانات من خلال نقاط النهاية الخاصة، بشرط تكوينها بشكل صحيح داخل نفس الشبكة الظاهرية أو أن يكون لها توجيه مناسب في مكانها.

المحتوى ذو الصلة

• مدخل Microsoft Azure
• Azure CLI