Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit Azure Private Link können Sie private Endpunkte für den Azure Database for PostgreSQL Flexible Server erstellen, um diesen in Ihr virtuelles Netzwerk zu integrieren. Diese Funktionalität ist eine empfohlene Alternative zu den Netzwerkfunktionen, die durch die Integration virtueller Netzwerke bereitgestellt werden.
Bei privatem Link durchläuft der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst das Microsoft-Backbone-Netzwerk. Es ist nicht mehr erforderlich, dass Sie Ihren Dienst über das öffentliche Internet verfügbar machen. Sie können Ihren eigenen Private Link-Dienst in Ihrem virtuellen Netzwerk erstellen und Ihren Kunden zur Verfügung stellen. Die Einrichtung und Nutzung von Azure Private Link ist in Azure PaaS-, Kunden- und gemeinsam genutzten Partnerdiensten einheitlich.
Private Link wird Benutzern über zwei Azure-Ressourcentypen verfügbar gemacht:
- Private Endpunkte (Microsoft.Network/PrivateEndpoints)
- Private Link-Dienste (Microsoft.Network/PrivateLinkServices)
Private Endpunkte
Ein privater Endpunkt fügt einer Ressource eine Netzwerkschnittstelle hinzu, die ihr eine private IP-Adresse von Ihrem VNet (Virtuelles Netzwerk) zuweist. Nach der Anwendung können Sie ausschließlich über das virtuelle Netzwerk (VNet) mit dieser Ressource kommunizieren. Eine Liste der PaaS-Dienste, die die Funktionalität des Privaten Links unterstützen, finden Sie in der Dokumentation zum Privaten Link. Ein privater Endpunkt ist eine private IP-Adresse in einem bestimmten virtuellen Netzwerk und Subnetz.
Mehrere private Endpunkte in verschiedenen virtuellen Netzwerken oder Subnetzen können auch dann, wenn sie überlappende Adressräume haben, auf dieselbe Öffentliche Dienstinstanz verweisen.
Hauptvorteile von Private Link
Private Link bietet folgende Vorteile:
- Privates Zugreifen auf Dienste auf der Azure-Plattform: Verbinden Sie Ihr virtuelles Netzwerk mit privaten Endpunkten mit allen Diensten, die als Anwendungskomponenten in Azure verwendet werden können. Dienstanbieter können ihre Dienste in ihrem eigenen virtuellen Netzwerk rendern. Verbrauchende können auf diese Dienste in ihrem lokalen virtuellen Netzwerk zugreifen. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk.
- Lokale Netzwerke und Peernetzwerke: Greifen Sie mithilfe privater Endpunkte von einer lokalen Umgebung über privates ExpressRoute-Peering, VPN-Tunnel und virtuelle Netzwerke mit Peering auf Dienste zu, die in Azure ausgeführt werden. Es ist nicht erforderlich, ExpressRoute-Microsoft-Peering einzurichten oder über das Internet auf den Dienst zuzugreifen. Private Link ist eine sichere Möglichkeit, um Workloads zu Azure zu migrieren.
- Schutz vor Datenlecks: Ein privater Endpunkt wird nicht dem gesamten Dienst, sondern der Instanz einer PaaS-Ressource zugeordnet. Consumer können nur eine Verbindung mit der entsprechenden Ressource herstellen. Der Zugriff auf alle anderen Ressourcen des Diensts ist blockiert. Dieser Mechanismus ermöglicht den Schutz vor Risiken aufgrund von Datenlecks.
- Globale Reichweite: Privates Verbinden mit Diensten, die in anderen Regionen ausgeführt werden: Das virtuelle Netzwerk der Verbrauchenden könnte sich in Region A befinden. Es kann eine Verbindung mit Diensten hinter privatem Link in Region B hergestellt werden.
Anwendungsfälle für Private Link mit Azure Database for PostgreSQL Flexible Server
Clients können eine Verbindung mit dem privaten Endpunkt herstellen von:
- Demselben virtuellen Netzwerk.
- Einem virtuelles Netzwerk mit Peering in derselben Region.
- Einer Netzwerk-zu-Netzwerk-Verbindung über Regionen hinweg.
Sie können auch über ExpressRoute, privates Peering oder VPN-Tunneln eine Verbindung aus der lokalen Umgebung heraus herstellen. Das folgende vereinfachte Diagramm zeigt die gängigen Anwendungsfälle.
Unterstützte Features für Private Link
Hier sehen Sie eine funktionsübergreifende Verfügbarkeitsmatrix für private Endpunkte in der Azure-Datenbank für flexiblen Server für PostgreSQL.
| Funktion | Verfügbarkeit | Notizen |
|---|---|---|
| Hochverfügbarkeit | Ja | Funktioniert wie vorgesehen. |
| Lesereplikat | Ja | Funktioniert wie vorgesehen. |
| Lesereplikat mit virtuellen Endpunkten | Ja | Funktioniert wie vorgesehen. |
| Wiederherstellung bis zu einem bestimmten Zeitpunkt | Ja | Funktioniert wie vorgesehen. |
| Auch Zulassen des öffentlichen/Internetzugriffs mit Firewallregeln | Ja | Funktioniert wie vorgesehen. |
| Hauptversionsupgrade | Ja | Funktioniert wie vorgesehen. |
| Microsoft Entra-Authentifizierung | Ja | Funktioniert wie vorgesehen. |
| Verbindungspooling mit PgBouncer | Ja | Funktioniert wie vorgesehen. |
| DNS des privaten Endpunkts | Ja | Funktioniert wie vorgesehen und dokumentiert. |
| Verschlüsselung mit kundenseitig verwalteten Schlüsseln | Ja | Funktioniert wie vorgesehen. |
Private Endpunkte können nur für Server konfiguriert werden, die erstellt wurden, nachdem Azure Database for PostgreSQL Flexible Server die Unterstützung für Private Link eingeführt hat. Der Netzwerkmodus dieser Server muss so konfiguriert sein, dass keine Virtuelle Netzwerkintegration genutzt wird, sondern der Zugriff über die öffentliche Netzwerkverbindung erfolgt.
Server, die vor diesem Datum erstellt wurden und deren Netzwerkmodus so konfiguriert ist, dass sie keine virtuelle Netzwerkintegration, sondern öffentlichen Zugriff verwenden, unterstützen die Erstellung privater Endpunkte noch nicht. Die Verwendung privater Endpunkte wird derzeit nicht auf Servern unterstützt, die mit der Integration des virtuellen Netzwerks erstellt wurden.
Herstellen einer Verbindung von einer Azure-VM in einem virtuellen Netzwerk mit Peering
Konfigurieren Sie virtuelles Netzwerk-Peering, um von einer Azure-VM in einem gekoppelten virtuellen Netzwerk eine Verbindung zu einem flexiblen Server der Azure-Datenbank für PostgreSQL herzustellen.
Herstellen einer Verbindung von einer Azure-VM in einer Netzwerk-zu-Netzwerk-Umgebung
Konfigurieren Sie eine Netzwerk-zu-Netzwerk-VPN-Gatewayverbindung, um über eine Azure-VM in einer anderen Region oder in einem anderen Abonnement eine Verbindung mit Azure Database for PostgreSQL – Flexibler Server herzustellen.
Herstellen einer VPN-Verbindung in einer lokalen Umgebung
Verwenden oder implementieren Sie eine der folgenden Optionen, um in einer lokalen Umgebung eine Verbindung mit Azure Database for PostgreSQL – Flexibler Server herzustellen:
Netzwerksicherheit und Private Link
Bei der Verwendung privater Endpunkte ist der Datenverkehr zu Private Link-Ressourcen geschützt. Die Plattform überprüft die Netzwerkverbindungen und lässt nur solche zu, die die angegebene Private Link-Ressource erreichen. Für den Zugriff auf weitere Unterressourcen innerhalb desselben Azure-Diensts sind weitere private Endpunkte mit entsprechenden Zielen erforderlich. Für Azure Storage benötigen Sie beispielsweise separate private Endpunkte, um auf die Datei- und Blob-Unterressourcen zuzugreifen.
Private Endpunkte bieten eine privat zugängliche IP-Adresse für den Azure-Dienst, beschränken aber nicht unbedingt den öffentlichen Netzwerkzugriff darauf. Alle anderen Azure-Dienste erfordern jedoch zusätzliche Zugriffssteuerungen. Diese Steuerungen stellen eine zusätzliche Ebene der Netzwerksicherheit für Ihre Ressourcen dar und bieten einen Schutz, der den Zugriff auf den der Private Link-Ressource zugeordneten Azure-Dienst verhindern hilft.
Private Endpunkte unterstützen Netzwerkrichtlinien. Netzwerkrichtlinien ermöglichen die Unterstützung von Netzwerksicherheitsgruppen (NSG), benutzerdefinierten Routen (UDR) und Anwendungssicherheitsgruppen (ASG). Weitere Informationen zum Aktivieren von Netzwerkrichtlinien für einen privaten Endpunkt finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte. Informationen zur Verwendung einer ASG mit einem privaten Endpunkt finden Sie unter Konfigurieren einer Anwendungssicherheitsgruppe (ASG) mit einem privaten Endpunkt.
Private Link und DNS
Bei Verwendung eines privaten Endpunkts müssen Sie eine Verbindung mit demselben Azure-Dienst herstellen, aber die IP-Adresse des privaten Endpunkts verwenden. Für die enge Endpunktverbindung sind separate DNS-Einstellungen (Domain Name System) erforderlich, um die private IP-Adresse in den Ressourcennamen aufzulösen.
Private DNS-Zonen ermöglichen die Domänennamensauflösung in einem virtuellen Netzwerk ohne eine benutzerdefinierte DNS-Lösung. Sie verknüpfen die privaten DNS-Zonen mit jedem virtuellen Netzwerk, um DNS-Dienste für dieses Netzwerk bereitzustellen.
Private DNS-Zonen stellen separate DNS-Zonennamen für jeden Azure-Dienst bereit. Zum Beispiel, wenn Sie eine Private DNS-Zone für den Blob-Dienst des Speicherkontos im vorherigen Bild konfiguriert haben, lautet der DNS-Zonenname privatelink.blob.core.windows.net. In der Microsoft-Dokumentation finden Sie weitere Informationen zu den Namen der privaten DNS-Zonen für alle Azure-Dienste.
Hinweis
Private Endpoint-Konfigurationen der Private DNS-Zone werden nur automatisch generiert, wenn Sie das empfohlene Namensschema verwenden: privatelink.postgres.database.azure.com.
Auf neu bereitgestellten Servern für den öffentlichen Zugriff (nicht in virtuelles Netzwerk integriert) gibt es eine Änderung des DNS-Layouts. Der FQDN des Servers wird nun zu einem CNAME-Eintrag in der Form servername.postgres.database.azure.com , der auf einen A-Eintrag in einem der folgenden Formate verweist:
- Wenn der Server über einen privaten Endpunkt mit einer standardmäßigen privaten DNS-Zone verfügt, verwendet der A-Eintrag dieses Format:
server_name.privatelink.postgres.database.azure.com. - Wenn der Server keine privaten Endpunkte hat, verwendet der A-Eintrag dieses Format
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
Hybrid-DNS für Azure und lokale Ressourcen
DNS ist ein wichtiger Designartikel in der allgemeinen Landungszonenarchitektur. Einige Unternehmen möchten möglicherweise Ihre vorhandenen Investitionen in DNS nutzen. Andere möchten möglicherweise systemeigene Azure-Funktionen für alle ihre DNS-Anforderungen einführen.
Sie können den Azure DNS Private Resolver-Dienst in Verbindung mit privaten Azure-DNS-Zonen für die standortübergreifende Namensauflösung verwenden. DNS Private Resolver kann DNS-Anforderungen an einen anderen DNS-Server weiterleiten und stellt außerdem eine IP-Adresse bereit, die von externen DNS-Servern zum Weiterleiten von Anforderungen verwendet werden kann. Daher können externe lokale DNS-Server den Namen in einer privaten DNS-Zone auflösen.
Für weitere Informationen zur Verwendung von DNS Private Resolver mit einer lokalen DNS-Weiterleitung, um DNS-Verkehr an Azure DNS weiterzuleiten, siehe:
- DNS-Integration für private Azure Endpunkte
- Erstellen einer DNS-Infrastruktur für privaten Endpunkt mit Azure DNS Private Resolver für eine lokale Workload
Die beschriebenen Lösungen erweitern ein lokales Netzwerk, das bereits über eine DNS-Lösung verfügt, um Ressourcen in der Azure.Microsoft-Architektur aufzulösen.
Integration von Private Link und DNS in Hub-and-Spoke-Netzwerkarchitekturen
Private DNS-Zonen werden in der Regel zentral in demselben Azure-Abonnement gehostet, in dem auch das Hub-VNet bereitgestellt wird. Diese Praxis des zentralen Hostings wird durch die standortübergreifende DNS-Namensauflösung und andere Anforderungen an die zentrale DNS-Auflösung, z. B. Microsoft Entra, gesteuert. In den meisten Fällen verfügen nur Netzwerk- und Identitätsadministratoren über die Berechtigung, DNS-Einträge in den Zonen zu verwalten.
In einer solchen Architektur wird Folgendes konfiguriert:
- Lokale DNS-Server verfügen über bedingte Forwarder, die für jede öffentliche DNS-Zone des privaten Endpunkts konfiguriert sind und auf den im Hub-VNet gehosteten Private DNS Resolver verweisen.
- Der im Hub-VNet gehostete Private DNS Resolver verwendet den von Azure bereitgestellten DNS (168.63.129.16) als Forwarder.
- Das Hub-VNet muss mit den Private DNS-Zonennamen für Azure-Dienste (wie
privatelink.postgres.database.azure.com, für Azure Database for PostgreSQL – Flexible Server) verknüpft sein. - Alle virtuellen Azure-Netzwerke verwenden Private DNS Resolver, der im Hub-VNet gehostet wird.
- Der private DNS Resolver ist nicht autoritativ für die Unternehmensdomänen eines Kunden, da es sich nur um eine Weiterleitung (z. B. Microsoft Entra-Domänennamen) handelt, sollte er ausgehende Endpunktweiterleitungen an die Unternehmensdomänen des Kunden haben, auf die lokalen DNS-Server verweisen oder DNS-Server, die in Azure bereitgestellt werden, die für solche Zonen autoritativ sind.
Private Link und Netzwerksicherheitsgruppen
Standardmäßig sind Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk deaktiviert. Damit Netzwerkrichtlinien wie UDR- und NSG-Unterstützung genutzt werden können, muss die Netzwerkrichtlinienunterstützung für das Subnetz aktiviert sein. Diese Einstellung gilt nur für private Endpunkte innerhalb des Subnetzes. Diese Einstellung wirkt sich auf alle privaten Endpunkte innerhalb des Subnetzes aus. Für andere Ressourcen im Subnetz wird der Zugriff basierend auf Sicherheitsregeln in der Netzwerksicherheitsgruppe gesteuert.
Sie können Netzwerkrichtlinien nur für NSGs, nur für UDRs oder für beides aktivieren. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.
Einschränkungen für NSGs und private Endpunkte werden unter Was ist ein privater Endpunkt? aufgeführt.
Wichtig
Schutz vor Datenlecks: Ein privater Endpunkt wird nicht dem gesamten Dienst, sondern der Instanz einer PaaS-Ressource zugeordnet. Consumer können nur eine Verbindung mit der entsprechenden Ressource herstellen. Der Zugriff auf alle anderen Ressourcen des Diensts ist blockiert. Dieser Mechanismus ermöglicht Basisschutz vor Risiken aufgrund von Datenlecks.
Private Link in Kombination mit Firewallregeln
Folgende Fälle und Ergebnisse sind bei Verwendung von Private Link in Verbindung mit Firewallregeln möglich:
Wenn Sie keine Firewallregeln konfigurieren, ist standardmäßig kein Datenverkehrszugriff auf die Instanz vom Azure Database for PostgreSQL – Flexible Server möglich.
Wenn Sie öffentlichen Datenverkehr oder einen Dienstendpunkt konfigurieren und private Endpunkte erstellen, werden verschiedene Arten von eingehendem Datenverkehr durch den entsprechenden Typ der Firewallregel autorisiert.
Wenn Sie keinen öffentlichen Datenverkehr oder Dienstendpunkt konfigurieren und private Endpunkte erstellen, kann auf die Instanz von Azure Database for PostgreSQL – Flexible Server nur über die privaten Endpunkte zugegriffen werden. Wenn Sie keinen öffentlichen Datenverkehr oder Dienstendpunkt konfigurieren, ist nach dem Ablehnen oder Löschen aller genehmigten privaten Endpunkte kein Datenverkehrszugriff auf Azure Database for PostgreSQL – Flexibler Server möglich.
Fehlersuche
Wenn Sie Private Link-Endpunkte mit Azure Database für Flexiblen Server für PostgreSQL verwenden, können Konnektivitätsprobleme aufgrund von Fehlkonfigurationen oder Netzwerkeinschränkungen auftreten. Um diese Probleme zu beheben, überprüfen Sie die Einrichtung privater Endpunkte, DNS-Konfigurationen, Netzwerksicherheitsgruppen (NSGs) und Routingtabellen. Die systematische Behandlung dieser Bereiche kann Ihnen helfen, häufige Probleme zu identifizieren und zu beheben, um eine nahtlose Konnektivität und einen sicheren Zugriff auf Ihre Datenbank sicherzustellen.
Konnektivitätsprobleme mit privaten endpunktbasierten Netzwerken
Im Folgenden finden Sie grundlegende Bereiche, die Sie überprüfen sollten, wenn Konnektivitätsprobleme mit auf privaten Endpunkten basierenden Netzwerken auftreten:
- Überprüfen von IP-Adresszuweisungen: Stellen Sie sicher, dass dem privaten Endpunkt die richtige IP-Adresse zugewiesen ist und dass keine Konflikte mit anderen Ressourcen vorliegen. Weitere Informationen zu privaten Endpunkten finden Sie unter Verwenden von privaten Azure-Endpunkten.
- Überprüfen von Netzwerksicherheitsgruppen (NSGs): Überprüfen Sie die NSG-Regeln für das Subnetz des privaten Endpunkts, um sicherzustellen, dass der erforderliche Datenverkehr zugelassen wird und keine widersprüchlichen Regeln vorliegen. Weitere Informationen zu Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen.
- Überprüfen der Routingtabellenkonfiguration: Stellen Sie sicher, dass die Routingtabellen, die dem Subnetz des privaten Endpunkts zugeordnet sind, und die verbundenen Ressourcen ordnungsgemäß mit den entsprechenden Routen konfiguriert sind.
- Verwenden von Netzwerküberwachung und -diagnose: Nutzen Sie Azure Network Watcher, um Netzwerkdatenverkehr mithilfe von Tools wie Verbindungsmonitor oder Paketerfassung zu überwachen und zu diagnostizieren. Weitere Informationen finden Sie unter Was ist Network Watcher?.
Weitere Informationen zur Problembehandlung privater Endpunkte finden Sie auch unter Behandeln von Problemen mit der Konnektivität privater Azure-Endpunkte.
DNS-Auflösung mit auf privaten Endpunkten basierenden Netzwerken
Im Folgenden finden Sie Bereiche, die Sie überprüfen sollten, wenn Probleme mit der DNS-Auflösung mit auf privaten Endpunkten basierenden Netzwerken auftreten:
- Überprüfen der DNS-Auflösung: Überprüfen Sie, ob der vom privaten Endpunkt verwendete DNS-Server oder -Dienst und die verbundenen Ressourcen ordnungsgemäß funktionieren. Stellen Sie sicher, dass die DNS-Einstellungen des privaten Endpunkts korrekt sind. Weitere Informationen zu den Einstellungen für private Endpunkte und DNS-Zonen finden Sie unter Private DNS-Zonenwerte von privaten Azure-Endpunkten.
- Löschen des DNS-Caches: Löschen Sie den DNS-Cache auf dem privaten Endpunkt oder Clientcomputer, um sicherzustellen, dass die neuesten DNS-Informationen abgerufen und Fehler aufgrund von Inkonsistenz vermieden werden.
- Analysieren von DNS-Protokollen: Überprüfen Sie DNS-Protokolle auf Fehlermeldungen oder ungewöhnliche Muster wie DNS-Abfragefehler, Serverfehler oder Timeouts. Weitere Informationen zu DNS-Metriken finden Sie unter Azure DNS-Metriken und -Warnungen.