Vytváření a správa pravidel firewallu pro flexibilní server Azure Database for PostgreSQL s využitím Azure CLI

PLATÍ PRO: Flexibilní server Azure Database for PostgreSQL

Flexibilní server Azure Database for PostgreSQL podporuje dva typy vzájemně se vylučujíných metod síťového připojení pro připojení k instanci flexibilního serveru Azure Database for PostgreSQL. Tyto dvě možnosti jsou:

• Veřejný přístup (povolené IP adresy). Tuto metodu je možné dále zabezpečit pomocí sítí založených na službě Private Link s flexibilním serverem Azure Database for PostgreSQL ve verzi Preview.
• Privátní přístup (integrace virtuální sítě)

Tento článek se zaměřuje na vytvoření instance flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem (povolené IP adresy) pomocí Azure CLI a poskytuje přehled příkazů Azure CLI, které můžete použít k vytvoření, aktualizaci, odstranění, výpisu a zobrazení pravidel brány firewall po vytvoření serveru. S veřejným přístupem (povolené IP adresy) jsou připojení k instanci flexibilního serveru Azure Database for PostgreSQL omezena pouze na povolené IP adresy. IP adresy klienta musí být povolené v pravidlech brány firewall. Další informace najdete v tématu Veřejný přístup (povolené IP adresy). Pravidla brány firewall je možné definovat při vytváření serveru (doporučeno), ale můžete je přidat i později.

Spuštění služby Azure Cloud Shell

Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.

Pokud chcete otevřít Cloud Shell, vyberte položku Vyzkoušet v pravém horním rohu bloku kódu. Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/bash. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte ho do Cloud Shellu a stisknutím klávesy Enter ho spusťte.

Pokud chcete rozhraní příkazového řádku nainstalovat a používat místně, tento rychlý start vyžaduje Azure CLI verze 2.0 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Požadavky

K účtu se musíte přihlásit pomocí příkazu az login . Poznamenejte si vlastnost ID, která odkazuje na ID předplatného pro váš účet Azure.

az login

Pomocí příkazu az account set vyberte konkrétní předplatné ve vašem účtu. Poznamenejte si hodnotu ID z příkazu az login output, která se použije jako hodnota argumentu předplatného v příkazu. Pokud máte více předplatných, vyberte odpovídající předplatné, ve kterém se má prostředek účtovat. Pokud chcete získat všechna vaše předplatné, použijte příkaz az account list.

az account set --subscription <subscription id>

Vytvoření pravidla brány firewall během vytváření instance flexibilního serveru Azure Database for PostgreSQL pomocí Azure CLI

Pomocí příkazu můžete az postgres flexible-server --public access vytvořit instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem (povolené IP adresy) a nakonfigurovat pravidla brány firewall během vytváření instance flexibilního serveru Azure Database for PostgreSQL. Pomocí přepínače --public-access můžete poskytnout povolené IP adresy, které se budou moct připojit k serveru. Můžete zadat jeden nebo rozsah IP adres, které se mají zahrnout do seznamu povolených IP adres. Rozsah IP adres musí být oddělený pomlčkou a neobsahuje žádné mezery. Existují různé možnosti vytvoření instance flexibilního serveru Azure Database for PostgreSQL pomocí rozhraní příkazového řádku, jak je znázorněno v následujících příkladech.

Úplný seznam konfigurovatelných parametrů rozhraní příkazového řádku najdete v referenční dokumentaci k Azure CLI. V následujících příkazech můžete například volitelně zadat skupinu prostředků.

• Vytvořte instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem a přidejte IP adresu klienta pro přístup k serveru:

  az postgres flexible-server create --public-access <my_client_ip>
  

• Vytvořte instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem a přidejte rozsah IP adres pro přístup k tomuto serveru:

  az postgres flexible-server create --public-access <start_ip_address-end_ip_address>
  

• Vytvořte instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem a povolte aplikacím z IP adres Azure připojení k instanci flexibilního serveru Azure Database for PostgreSQL:

  az postgres flexible-server create --public-access 0.0.0.0
  

  Důležité

  Tato možnost nakonfiguruje bránu firewall tak, aby umožňovala veřejný přístup ke službám a prostředkům Azure v rámci Azure na tento server, včetně připojení z předplatných jiných zákazníků. Když vyberete tuto možnost, ujistěte se, že vaše přihlašovací a uživatelská oprávnění omezují přístup jenom na autorizované uživatele.

• • Vytvořte instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem a povolte všechny IP adresy:

    az postgres flexible-server create --public-access all
    

    Poznámka:

    Předchozí příkaz vytvoří pravidlo brány firewall s počáteční IP adresou=0.0.0.0, koncovou IP adresou=255.255.255.255 a nezablokují se žádné IP adresy. K tomuto serveru má přístup jakýkoli hostitel na internetu. Důrazně doporučujeme toto pravidlo používat pouze dočasně a pouze na testovacích serverech, které neobsahují citlivá data.

• Vytvořte instanci flexibilního serveru Azure Database for PostgreSQL s veřejným přístupem a bez IP adresy:

  az postgres flexible-server create --public-access none
  

  Poznámka:

  Nedoporučujeme vytvářet server bez pravidel brány firewall. Pokud nepřidáte žádná pravidla brány firewall, nebude se k serveru moct připojit žádný klient.

Vytvoření a správa pravidla brány firewall po vytvoření serveru

Příkaz az postgres flexible-server firewall-rule se používá z Azure CLI k vytvoření, odstranění, výpisu, zobrazení a aktualizaci pravidel brány firewall.

Příkazy:

• create: Vytvoření pravidla firewallu flexibilního serveru Azure Database for PostgreSQL
• list: Výpis pravidel brány firewall flexibilního serveru Azure Database for PostgreSQL
• aktualizace: Aktualizace pravidla brány firewall flexibilního serveru Azure Database for PostgreSQL
• show: Zobrazení podrobností o pravidlu brány firewall flexibilního serveru Azure Database for PostgreSQL
• delete: Odstraňte pravidlo brány firewall flexibilního serveru Azure Database for PostgreSQL.

Úplný seznam konfigurovatelných parametrů rozhraní příkazového řádku najdete v referenční dokumentaci k Azure CLI. Například v následujících příkazech můžete volitelně zadat skupinu prostředků.

Vytvoření pravidla brány firewall

az postgres flexible-server firewall-rule create Pomocí příkazu vytvořte nové pravidlo brány firewall na serveru. Pokud chcete povolit přístup k rozsahu IP adres, zadejte IP adresu jako počáteční IP adresu a koncovou IP adresu, jako v tomto příkladu. Tento příkaz také očekává název skupiny prostředků Azure, kde se server nachází jako parametr.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Pokud chcete povolit přístup pro jednu IP adresu, stačí zadat jednu IP adresu, jako v tomto příkladu.

az postgres flexible-server firewall-rule create --name mydemoserver  --resource-group testGroup  --start-ip-address 1.1.1.1

Pokud chcete aplikacím z IP adres Azure povolit připojení k instanci flexibilního serveru Azure Database for PostgreSQL, zadejte IP adresu 0.0.0.0 jako počáteční IP adresu, jak je znázorněno v tomto příkladu.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 0.0.0.0

Důležité

Tato možnost nakonfiguruje bránu firewall tak, aby umožňovala veřejný přístup ke službám a prostředkům Azure v rámci Azure na tento server, včetně připojení z předplatných jiných zákazníků. Když vyberete tuto možnost, ujistěte se, že vaše přihlašovací a uživatelská oprávnění omezují přístup jenom na autorizované uživatele.

Po úspěšném provedení zobrazí každý výstup příkazu create podrobnosti o vytvořeném pravidlu brány firewall ve formátu JSON (ve výchozím nastavení). Pokud dojde k selhání, zobrazí se ve výstupu místo toho text chybové zprávy.

Výpis pravidel brány firewall

az postgres flexible-server firewall-rule list Pomocí příkazu zobrazte seznam existujících pravidel brány firewall serveru na serveru. Všimněte si, že atribut názvu serveru je zadaný v přepínači --name .

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup

Výstup zobrazí seznam pravidel ve formátu JSON (ve výchozím nastavení). K výstupu výsledků ve čitelnějším formátu tabulky můžete použít přepínač --output table**.

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup --output table

Aktualizace pravidla brány firewall

az postgres flexible-server firewall-rule update Pomocí příkazu aktualizujte existující pravidlo brány firewall na serveru. Zadejte název existujícího pravidla brány firewall jako vstup a také počáteční IP adresu a atributy koncových IP adres, které se mají aktualizovat.

az postgres flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Po úspěchu zobrazí výstup příkazu podrobnosti o pravidlu firewallu, které jste aktualizovali, ve formátu JSON (ve výchozím nastavení). Pokud dojde k selhání, zobrazí se ve výstupu místo toho text chybové zprávy.

Poznámka:

Pokud pravidlo brány firewall neexistuje, vytvoří se pomocí příkazu update.

Zobrazení podrobností o pravidle brány firewall

az postgres flexible-server firewall-rule show Pomocí příkazu zobrazíte podrobnosti existujícího pravidla brány firewall ze serveru. Zadejte název existujícího pravidla brány firewall jako vstup.

az postgres flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Po úspěšném provedení zobrazí výstup příkazu podrobnosti o pravidlu brány firewall, které jste zadali, ve formátu JSON (ve výchozím nastavení). Pokud dojde k selhání, zobrazí se ve výstupu místo toho text chybové zprávy.

Odstranění pravidla firewallu

az postgres flexible-server firewall-rule delete Pomocí příkazu odstraňte ze serveru existující pravidlo brány firewall. Zadejte název existujícího pravidla brány firewall.

az postgres flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Po úspěchu neexistuje žádný výstup. Při selhání se zobrazí text chybové zprávy.

Další kroky

• Další informace o sítích na flexibilním serveru Azure Database for PostgreSQL
• Další informace o pravidlech brány firewall flexibilního serveru Azure Database for PostgreSQL
• Vytvoření a správa pravidel brány firewall flexibilního serveru Azure Database for PostgreSQL pomocí webu Azure Portal