Přehled sítí pro flexibilní server Azure Database for PostgreSQL s privátním přístupem (integrace virtuální sítě)

PLATÍ PRO: Flexibilní server Azure Database for PostgreSQL

Tento článek popisuje koncepty připojení a sítě pro flexibilní server Azure Database for PostgreSQL.

Při vytváření instance flexibilního serveru Azure Database for PostgreSQL musíte zvolit jednu z následujících možností sítě: privátní přístup (integrace virtuální sítě) nebo veřejný přístup (povolené IP adresy) a privátní koncový bod. Tento dokument popisuje možnost sítě privátního přístupu (integrace virtuální sítě).

Privátní přístup (integrace virtuální sítě)

Instanci flexibilního serveru Azure Database for PostgreSQL můžete nasadit do virtuální sítě Azure pomocí injektáže virtuální sítě. Virtuální sítě Azure poskytují privátní a zabezpečenou síťovou komunikaci. Prostředky ve virtuální síti můžou komunikovat prostřednictvím privátních IP adres , které byly v této síti přiřazeny.

Tuto možnost sítě zvolte, pokud chcete mít následující možnosti:

• Připojení z prostředků Azure ve stejné virtuální síti do instance flexibilního serveru Azure Database for PostgreSQL pomocí privátních IP adres.
• Pomocí sítě VPN nebo Azure ExpressRoute se připojte z prostředků mimo Azure k instanci flexibilního serveru Azure Database for PostgreSQL.
• Ujistěte se, že instance flexibilního serveru Azure Database for PostgreSQL nemá žádný veřejný koncový bod, který je přístupný přes internet.

V předchozím diagramu:

• Instance flexibilního serveru Azure Database for PostgreSQL se vloží do podsítě 10.0.1.0/24 virtuální sítě VNet-1.
• Aplikace nasazené v různých podsítích ve stejné virtuální síti mají přímý přístup k instancím flexibilního serveru Azure Database for PostgreSQL.
• Aplikace nasazené v jiné virtuální síti (VNet-2) nemají přímý přístup k instancím flexibilního serveru Azure Database for PostgreSQL. Než budou mít přístup k flexibilnímu serveru, musíte pro privátní zónu DNS provést partnerský vztah virtuální sítě.

Koncepty virtuální sítě

Virtuální síť Azure obsahuje privátní adresní prostor IP adres nakonfigurovaný pro vaše použití. Vaše virtuální síť musí být ve stejné oblasti Azure jako instance flexibilního serveru Azure Database for PostgreSQL. Další informace o virtuálních sítích najdete v přehledu služby Azure Virtual Network.

Tady je několik konceptů, které byste měli znát při používání virtuálních sítí, ve kterých jsou prostředky integrované do virtuální sítě s instancemi flexibilních serverů Azure Database for PostgreSQL:

• Delegovaná podsíť. Virtuální síť obsahuje podsítě (podsítě). Podsítě umožňují segmentovat virtuální síť do menších adresních prostorů. Prostředky Azure se nasazují do konkrétních podsítí v rámci virtuální sítě.

  Vaše virtuální síť integrovaná instance flexibilního serveru Azure Database for PostgreSQL musí být v podsíti, která je delegovaná. To znamená, že tuto podsíť můžou používat pouze instance flexibilního serveru Azure Database for PostgreSQL. V delegované podsíti nemůžou být žádné jiné typy prostředků Azure. Delegujete podsíť přiřazením jeho vlastnosti delegování jako Microsoft.DBforPostgreSQL/flexibleServers. Nejmenší rozsah CIDR, který můžete zadat pro podsíť, je /28, který poskytuje 16 IP adres, ale první a poslední adresu v žádné síti nebo podsíti není možné přiřadit žádnému jednotlivému hostiteli. Azure si vyhrazuje pět IP adres, které budou využívat interně sítěMi Azure, mezi které patří dvě IP adresy, které se nedají přiřadit k hostiteli, jak je uvedeno výše. To vám ponechá 11 dostupných IP adres pro rozsah CIDR /28, zatímco jedna instance flexibilního serveru Azure Database for PostgreSQL s funkcemi vysoké dostupnosti využívá čtyři adresy. V případě replikace a připojení Microsoft Entra se ujistěte, že směrovací tabulky nemají vliv na provoz. Běžný vzor je směrován veškerý odchozí provoz přes Azure Firewall nebo vlastní místní zařízení pro filtrování sítě. Pokud má podsíť přidruženou směrovací tabulku k pravidlu pro směrování veškerého provozu do virtuálního zařízení:

  • Přidání pravidla se značkou cílové služby AzureActiveDirectory a dalším segmentem směrování Internet
  • Přidání pravidla s rozsahem cílových IP adres stejně jako rozsah podsítí flexibilního serveru Azure Database for PostgreSQL a dalším segmentem směrování Virtuální síť

  Důležité

  Názvy AzureFirewallSubnet, AzureFirewallManagementSubnetAzureBastionSubnet, a GatewaySubnet jsou vyhrazeny v rámci Azure. Jako název podsítě nepoužívejte žádnou z těchto možností.

• Skupina zabezpečení sítě (NSG): Pravidla zabezpečení v NSG umožňují filtrovat typ síťového provozu, který může proudit do podsítí a síťových rozhraní virtuálních sítí a z těchto podsítí. Další informace najdete v přehledu NSG.

  Skupiny zabezpečení aplikací (ASG) usnadňují řízení zabezpečení vrstvy 4 pomocí skupin zabezpečení sítě pro ploché sítě. Můžete rychle:

  • Připojte virtuální počítače k ASG nebo odeberte virtuální počítače z ASG.
  • Dynamicky aplikujte pravidla na tyto virtuální počítače nebo odeberte pravidla z těchto virtuálních počítačů.

  Další informace najdete v přehledu asg.

  V tuto chvíli nepodporujeme skupiny zabezpečení sítě, které jsou součástí pravidla s flexibilním serverem Azure Database for PostgreSQL. V současné době doporučujeme použít v NSG filtrování na základě IP adresy nebo cíle.

  Důležité

  Vysoká dostupnost a další funkce flexibilního serveru Azure Database for PostgreSQL vyžadují možnost odesílat a přijímat provoz na cílový port 5432 v podsíti virtuální sítě Azure, kde je nasazen flexibilní server Azure Database for PostgreSQL, a také do úložiště Azure pro archivaci protokolů. Pokud vytvoříte skupiny zabezpečení sítě (NSG) pro odepření toku provozu do nebo z instance flexibilního serveru Azure Database for PostgreSQL v rámci podsítě, ve které je nasazená, nezapomeňte povolit provoz na cílový port 5432 v rámci podsítě a také do úložiště Azure pomocí značky služby Azure Storage jako cíle. Toto pravidlo výjimky můžete dále filtrovat přidáním oblasti Azure do popisku, jako je us-east.storage. Pokud se také rozhodnete použít ověřování Microsoft Entra k ověřování přihlášení k instanci flexibilního serveru Azure Database for PostgreSQL, povolte odchozí provoz do Microsoft Entra ID pomocí značky služby Microsoft Entra. Při nastavování replik pro čtení napříč oblastmi Azure vyžaduje flexibilní server Azure Database for PostgreSQL možnost odesílat a přijímat provoz do cílového portu 5432 pro primární i repliku i do úložiště Azure v primárních oblastech i v oblastech replik z primárních i replikačních serverů.

• integrace zóny Privátní DNS. Integrace privátní zóny DNS Azure umožňuje přeložit privátní DNS v rámci aktuální virtuální sítě nebo jakékoli partnerské virtuální sítě v oblasti, kde je zóna privátního DNS propojená.

Použití privátní zóny DNS

Azure Privátní DNS poskytuje spolehlivou a zabezpečenou službu DNS pro vaši virtuální síť. Azure Privátní DNS spravuje a překládá názvy domén ve virtuální síti bez nutnosti konfigurace vlastního řešení DNS.

Při použití přístupu k privátní síti s virtuální sítí Azure je poskytnutí informací o privátní zóně DNS povinné , aby bylo možné provádět překlad DNS. Pro vytvoření nové instance flexibilního serveru Azure Database for PostgreSQL pomocí přístupu k privátní síti je potřeba použít privátní zóny DNS při konfiguraci instancí flexibilního serveru Azure Database for PostgreSQL s privátním přístupem. Pro vytvoření nové flexibilní instance serveru Azure Database for PostgreSQL pomocí privátního síťového přístupu pomocí rozhraní API, ARM nebo Terraformu vytvořte privátní zóny DNS a použijte je při konfiguraci instancí flexibilního serveru Azure Database for PostgreSQL s privátním přístupem. Další informace o specifikacích rozhraní REST API pro Microsoft Azure. Pokud k vytváření instancí flexibilních serverů Azure Database for PostgreSQL používáte Azure Portal nebo Azure CLI , můžete zadat název privátní zóny DNS, který jste předtím vytvořili ve stejném nebo jiném předplatném, nebo se ve vašem předplatném automaticky vytvoří výchozí privátní zóna DNS.

Pokud používáte rozhraní Azure API, šablonu Azure Resource Manageru (šablonu ARM) nebo Terraform, vytvořte privátní zóny DNS, které končí .postgres.database.azure.com. Tyto zóny použijte při konfiguraci instancí flexibilního serveru Azure Database for PostgreSQL s privátním přístupem. Například použijte formulář [name1].[name2].postgres.database.azure.com nebo [name].postgres.database.azure.com. Pokud se rozhodnete použít formulář[name].postgres.database.azure.com, název nemůže být název, který používáte pro jednu z instancí flexibilního serveru Azure Database for PostgreSQL, nebo se během zřizování zobrazí chybová zpráva. Další informace najdete v přehledu privátních zón DNS.

Pomocí webu Azure Portal, rozhraní api, rozhraní příkazového řádku nebo ARM můžete také změnit privátní zónu DNS z zóny, kterou jste zadali při vytváření instance flexibilního serveru Azure Database for PostgreSQL, do jiné privátní zóny DNS, která existuje ve stejném nebo jiném předplatném.

Důležité

Možnost změnit privátní zónu DNS z zóny, kterou jste zadali při vytváření instance flexibilního serveru Azure Database for PostgreSQL na jinou privátní zónu DNS, je aktuálně zakázaná pro servery s povolenou funkcí vysoké dostupnosti.

Po vytvoření privátní zóny DNS v Azure je potřeba k ní propojit virtuální síť. Po propojení můžou prostředky hostované v této virtuální síti přistupovat k privátní zóně DNS.

Důležité

Už neověřujeme přítomnost propojení virtuální sítě při vytváření serveru pro flexibilní server Azure Database for PostgreSQL s privátními sítěmi. Při vytváření serveru prostřednictvím portálu nabízíme zákazníkům možnost vytvořit odkaz na vytvoření serveru pomocí zaškrtávacího políčka Propojit Privátní DNS Zónu vaší virtuální sítě na webu Azure Portal.

Privátní zóny DNS jsou odolné vůči oblastním výpadkům, protože data zón jsou globálně dostupná. Záznamy prostředků v privátní zóně se automaticky replikují napříč oblastmi. Azure Privátní DNS je základní služba zóny dostupnosti, která se nazývá reduntant. Další informace najdete v tématu Služby Azure s podporou zóny dostupnosti.

Integrace s vlastním serverem DNS

Pokud používáte vlastní server DNS, musíte k překladu plně kvalifikovaného názvu domény flexibilního serveru Azure Database for PostgreSQL použít nástroj pro předávání DNS. IP adresa služby předávání by měla být 168.63.129.16.

Vlastní server DNS by měl být uvnitř virtuální sítě nebo dosažitelný prostřednictvím nastavení serveru DNS virtuální sítě. Další informace najdete v tématu Překlad názvů, který používá váš vlastní server DNS.

Privátní DNS zón a partnerské vztahy virtuálních sítí

Privátní DNS nastavení zóny a partnerský vztah virtuálních sítí jsou navzájem nezávislé. Pokud se chcete připojit k instanci flexibilního serveru Azure Database for PostgreSQL z klienta zřízeného v jiné virtuální síti ze stejné oblasti nebo jiné oblasti, musíte propojit privátní zónu DNS s virtuální sítí. Další informace najdete v tématu Propojení virtuální sítě.

Poznámka:

Propojit je možné pouze názvy privátních zón DNS, které končí na postgres.database.azure.com . Název vaší zóny DNS nemůže být stejný jako vaše instance flexibilních serverů Azure Database for PostgreSQL, jinak překlad názvů selže.

Pokud chcete namapovat název serveru na záznam DNS, můžete v Azure Cloud Shellu spustit příkaz nslookup pomocí Azure PowerShellu nebo Bash a nahradit název serveru server_name><parametrem v následujícím příkladu:

nslookup -debug <server_name>.postgres.database.azure.com | grep 'canonical name'

Použití návrhu privátní sítě hvězdicové architektury

Hvězdicová architektura je oblíbený síťový model pro efektivní správu běžných požadavků na komunikaci nebo zabezpečení.

Centrum je virtuální síť, která funguje jako centrální umístění pro správu externího připojení. Hostuje také služby používané více úlohami. Toto centrum koordinuje veškerou komunikaci směřující do a z paprsků. IT pravidla nebo procesy, jako je zabezpečení, můžou kontrolovat, směrovat a centrálně spravovat provoz. Paprsky jsou virtuální sítě, které hostují úlohy a připojují se k centru uprostřed přes partnerský vztah virtuální sítě. Sdílené služby jsou hostované ve svých vlastních podsítích pro sdílení s paprsky. Hraniční podsíť pak funguje jako bezpečnostní zařízení.

Paprsky jsou také virtuální sítě v Azure, které slouží k izolaci jednotlivých úloh. Tok provozu mezi místním ústředím a Azure je připojený přes ExpressRoute nebo site-to-site VPN připojený k virtuální síti centra. Virtuální sítě z paprsků do centra jsou vzájemně propojeny partnerským vztahem a umožňují komunikaci s místními prostředky. Centrum a jednotlivé paprsky můžete implementovat v samostatných předplatných nebo skupinách prostředků.

Existují tři hlavní vzory pro vzájemné propojení paprskových virtuálních sítí:

• Paprsky jsou vzájemně propojené přímo. Partnerské vztahy virtuálních sítí nebo tunely VPN se vytvářejí mezi paprskovými virtuálními sítěmi, aby poskytovaly přímé připojení bez procházení virtuální sítě rozbočovače.
• Paprsky komunikují přes síťové zařízení. Každá paprsková virtuální síť má partnerský vztah ke službě Virtual WAN nebo k centrální virtuální síti. Zařízení směruje provoz z paprsku do paprsku. Zařízení může spravovat Microsoft (stejně jako virtual WAN) nebo vy.
• Brána virtuální sítě připojená k centrální síti a využívá trasy definované uživatelem (UDR) k povolení komunikace mezi paprsky.

Pomocí Azure Virtual Network Manageru (AVNM) můžete vytvořit nové hvězdicové topologie virtuální sítě a hvězdicové topologie virtuální sítě pro centrální správu možností připojení a kontrolních mechanismů zabezpečení.

Komunikace s privátními síťovými klienty v různých oblastech

Zákazníci se často potřebují připojovat k klientům v různých oblastech Azure. Konkrétně se tato otázka obvykle omezuje na to, jak připojit dvě virtuální sítě (jedno z nich má flexibilní server Azure Database for PostgreSQL a dalšího klienta aplikace), které jsou v různých oblastech. Existuje několik způsobů, jak takové připojení dosáhnout, z nichž některé jsou:

• Globální partnerský vztah virtuálních sítí Nejběžnější metodologie, protože je nejjednodušší způsob, jak propojit sítě v různých oblastech dohromady. Globální partnerský vztah virtuálních sítí vytvoří připojení přes páteřní síť Azure přímo mezi dvěma partnerskými virtuálními sítěmi. Tato metoda poskytuje nejlepší propustnost sítě a nejnižší latenci připojení. Když jsou virtuální sítě v partnerském vztahu, Azure za vás také zpracuje směrování automaticky, tyto virtuální sítě můžou komunikovat se všemi prostředky v partnerské virtuální síti vytvořené na bráně VPN.
• Připojení typu VNET-to-VNET Připojení typu VNET-to-VNET je v podstatě SÍŤ VPN mezi dvěma různými umístěními Azure. Připojení typu VNET-to-VNET je navázáno na bráně VPN. To znamená, že provoz způsobuje dva další segmenty směrování provozu ve srovnání s globálním partnerským vztahem virtuálních sítí. V porovnání s danou metodou je také další latence a nižší šířka pásma.
• Komunikace prostřednictvím síťového zařízení v architektuře hvězdicové architektury Místo přímého propojení paprskových virtuálních sítí můžete pomocí síťových zařízení směrovat provoz mezi paprsky. Síťová zařízení poskytují více síťových služeb, jako je hloubková kontrola paketů a segmentace provozu nebo monitorování, ale pokud nejsou správně velké, můžou zavádět latenci a kritické body výkonu.

Replikace napříč oblastmi Azure a virtuálními sítěmi s využitím privátních sítí

Replikace databáze je proces kopírování dat z centrálního nebo primárního serveru na více serverů označovaných jako repliky. Primární server přijímá operace čtení a zápisu, zatímco repliky obsluhují transakce jen pro čtení. Primární server a repliky společně tvoří databázový cluster. Cílem replikace databáze je zajistit redundanci, konzistenci, vysokou dostupnost a přístupnost dat, zejména u vysoce provozních a důležitých aplikací.

Flexibilní server Azure Database for PostgreSQL nabízí dvě metody replikace: fyzické (tj. streamování) prostřednictvím integrované funkce repliky pro čtení a logické replikace. Oba jsou ideální pro různé případy použití a uživatel si ho může vybrat v závislosti na koncovém cíli.

Replikace mezi oblastmi Azure, s samostatnými virtuálními sítěmi (VNET) v každé oblasti, vyžaduje připojení přes hranice regionální virtuální sítě, které je možné poskytovat prostřednictvím partnerského vztahu virtuálních sítí nebo v architekturách hvězdicové architektury přes síťové zařízení.

Ve výchozím nastavení je překlad názvů DNS vymezen na virtuální síť. To znamená, že jakýkoli klient v jedné virtuální síti (VNET1) nemůže přeložit plně kvalifikovaný název domény flexibilního serveru Azure Database for PostgreSQL v jiné virtuální síti (VNET2).

Pokud chcete tento problém vyřešit, musíte zajistit, aby klienti ve virtuální síti 1 měli přístup k flexibilnímu serveru Azure Database for PostgreSQL Privátní DNS Zone. Toho lze dosáhnout přidáním propojení virtuální sítě do Privátní DNS zóny flexibilního serveru Azure Database for PostgreSQL.

Nepodporované scénáře virtuálních sítí

Tady je několik omezení pro práci s virtuálními sítěmi vytvořenými prostřednictvím integrace virtuální sítě:

• Po nasazení instance flexibilního serveru Azure Database for PostgreSQL do virtuální sítě a podsítě ji nemůžete přesunout do jiné virtuální sítě nebo podsítě. Virtuální síť nemůžete přesunout do jiné skupiny prostředků ani předplatného.
• Jakmile v podsíti existují prostředky, není možné zvětšit velikost podsítě (adresní prostory).
• Prostředky vložené do virtuální sítě nemůžou ve výchozím nastavení komunikovat se službou Private Link. Pokud chcete použít private Link pro privátní sítě, prohlédnou si flexibilní serverové sítě Azure Database for PostgreSQL se službou Private Link.

Důležité

Azure Resource Manager podporuje možnost uzamknout prostředky jako bezpečnostní prvek. Zámky prostředků se použijí na prostředek a jsou efektivní pro všechny uživatele a role. Existují dva typy zámku prostředků: CanNotDelete a ReadOnly. Tyto typy zámků lze použít buď na Privátní DNS zónu, nebo na jednotlivou sadu záznamů. Použití zámku typu pro Privátní DNS Zónu nebo jednotlivou sadu záznamů může narušit schopnost flexibilního serveru Azure Database for PostgreSQL aktualizovat záznamy DNS a způsobit problémy během důležitých operací v DNS, jako je převzetí služeb při selhání s vysokou dostupností z primární do sekundární. Z těchto důvodů se ujistěte, že při používání funkcí vysoké dostupnosti flexibilního serveru Azure Database for PostgreSQL nepoužíváte privátní zónu DNS ani zámky záznamů.

Název hostitele

Bez ohledu na zvolenou možnost sítě doporučujeme při připojování k instanci flexibilního serveru Azure Database for PostgreSQL vždy používat plně kvalifikovaný název domény jako název hostitele. IP adresa serveru není zaručená, že zůstane statická. Použití plně kvalifikovaného názvu domény vám pomůže vyhnout se změnám připojovací řetězec.

Příkladem, který používá plně kvalifikovaný název domény jako název hostitele, je hostname = servername.postgres.database.azure.com. Pokud je to možné, nepoužívejte hostname = 10.0.0.4 (soukromou adresu) nebo hostname = 40.2.45.67 (veřejnou adresu).

Další kroky

• Zjistěte, jak vytvořit instanci flexibilního serveru Azure Database for PostgreSQL pomocí možnosti Privátní přístup (integrace virtuální sítě) na webu Azure Portal nebo v Azure CLI.