Erstellen und Verwalten von Firewallregeln für Azure Database for PostgreSQL – Flexible Server mithilfe der Azure CLI

  • Artikel

GILT FÜR: Azure Database for PostgreSQL – Flexible Server

Azure Database for PostgreSQL flexible Server unterstützt zwei Arten sich gegenseitig ausschließenden Netzwerkkonnektivitätsmethoden, um eine Verbindung mit Ihrer Azure-Datenbank für flexible Serverinstanz von PostgreSQL herzustellen. Die zwei Optionen sind:

  • Öffentlicher Zugriff (zugelassene IP-Adressen). Diese Methode kann weiter gesichert werden, indem private Link-basierte Netzwerke mit Azure Database für PostgreSQL flexiblen Server in der Vorschau verwendet werden.
  • Privater Zugriff (VNET-Integration)

Dieser Artikel konzentriert sich auf die Erstellung einer flexiblen Azure-Datenbank für PostgreSQL-Serverinstanz mit öffentlichem Zugriff (zulässige IP-Adressen) mithilfe von Azure CLI und bietet eine Übersicht über Azure CLI-Befehle, die Sie zum Erstellen, Aktualisieren, Löschen, Auflisten und Anzeigen von Firewallregeln nach der Servererstellung verwenden können. Bei öffentlichem Zugriff (zulässige IP-Adressen) sind die Verbindungen mit der Azure-Datenbank für PostgreSQL flexible Serverinstanz nur auf zulässige IP-Adressen beschränkt. Die Client-IP-Adressen müssen in Firewallregeln zugelassen werden. Weitere Informationen finden Sie unter Öffentlicher Zugriff (zugelassene IP-Adressen). Die Firewallregeln können zum Zeitpunkt der Servererstellung definiert werden (empfohlen), jedoch können sie auch später hinzugefügt werden.

Starten von Azure Cloud Shell

Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel durchführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie zum Öffnen von Cloud Shell oben rechts in einem Codeblock einfach die Option Ausprobieren. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/bash navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und wählen Sie Eingabe, um sie auszuführen.

Wenn Sie es vorziehen, die CLI lokal zu installieren und zu verwenden, müssen Sie für diesen Schnellstart mindestens Version 2.0 der Azure CLI verwenden. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Voraussetzungen

Sie müssen sich mit dem Befehl az login bei Ihrem Konto anmelden. Beachten Sie die Eigenschaft ID, die auf die Abonnement-ID für Ihr Azure-Konto verweist.

az login

Wählen Sie mithilfe des Befehls az account set das Abonnement unter Ihrem Konto aus. Notieren Sie sich aus der Ausgabe von az login den Wert für ID. Sie verwenden ihn im Befehl als Wert für das Argument subscription. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das entsprechende Abonnement aus, in dem die Ressource fakturiert sein sollte. Verwenden Sie az account list, um alle Abonnements abzurufen.

az account set --subscription <subscription id>

Erstellen einer Firewallregel während der Azure-Datenbank für flexible Serverinstanzerstellung mithilfe von Azure CLI

Sie können den az postgres flexible-server --public access Befehl verwenden, um die Azure-Datenbank für PostgreSQL flexible Serverinstanz mit öffentlichem Zugriff (zulässige IP-Adressen) zu erstellen und die Firewallregeln während der Erstellung der Azure-Datenbank für flexible Serverinstanz von PostgreSQL für PostgreSQL zu konfigurieren. Sie können die Option --public-access verwenden, um die zulässigen IP-Adressen bereitzustellen, die zum Herstellen einer Verbindung mit dem Server verwendet werden können. Sie können einen einzelnen IP-Adressbereich angeben, der in der Liste zulässiger IP-Adressen enthalten sein soll. Der IP-Adressbereich muss durch Bindestriche getrennt sein und darf keine Leerzeichen enthalten. Es gibt verschiedene Optionen zum Erstellen einer Azure-Datenbank für Eine flexible Serverinstanz von PostgreSQL mithilfe von CLI, wie in den folgenden Beispielen gezeigt.

Die vollständige Liste von konfigurierbaren CLI-Parametern finden Sie in der Referenzdokumentation zur Azure CLI. In den folgenden Befehlen können Sie beispielsweise optional die Ressourcengruppe festlegen.

  • Erstellen Sie eine Azure-Datenbank für eine flexible Serverinstanz für PostgreSQL mit öffentlichem Zugriff und fügen Sie client-IP-Adresse hinzu, um Zugriff auf den Server zu haben:

    az postgres flexible-server create --public-access <my_client_ip>

  • Erstellen Sie eine flexible Azure-Datenbank für PostgreSQL-Serverinstanz mit öffentlichem Zugriff und fügen Sie den Bereich der IP-Adresse hinzu, um Zugriff auf diesen Server zu haben:

    az postgres flexible-server create --public-access <start_ip_address-end_ip_address>

  • Erstellen Sie eine flexible Azure-Datenbank für PostgreSQL-Serverinstanz mit öffentlichem Zugriff und ermöglichen Anwendungen von Azure-IP-Adressen die Verbindung mit Ihrer Azure-Datenbank für flexible Serverinstanz von PostgreSQL:

    az postgres flexible-server create --public-access 0.0.0.0

    Wichtig

    Diese Option konfiguriert die Firewall zum Zulassen des öffentlichen Zugriffs über Azure-Dienste und -Ressourcen auf diesen Server, einschließlich Verbindungen aus Abonnements anderer Kunden. Wenn Sie diese Option auswählen, stellen Sie sicher, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer beschränken.

    • Erstellen Sie eine flexible Azure-Datenbank für PostgreSQL-Serverinstanz mit öffentlichem Zugriff und ermöglichen Sie alle IP-Adressen: 
      az postgres flexible-server create --public-access all

      Hinweis

      Der vorstehende Befehl erstellt eine Firewallregel mit start IP address=0.0.0.0, end IP address=255.255.255.255 and no IP addresses are blocked. Jeder Host im Internet kann auf diesen Server zugreifen. Es wird dringend empfohlen, diese Regel nur vorübergehend und nur auf Testservern zu verwenden, die keine vertraulichen Daten enthalten.

  • Erstellen Sie eine Azure-Datenbank für eine flexible Serverinstanz für PostgreSQL mit öffentlichem Zugriff und ohne IP-Adresse:

    az postgres flexible-server create --public-access none

    Hinweis

    Es wird nicht empfohlen, einen Server ohne Firewallregeln zu erstellen. Wenn Sie keine Firewallregeln hinzufügen, kann kein Client eine Verbindung mit dem Server herstellen.

Erstellen und Verwalten von Firewallregeln nach der Servererstellung

Der Befehl az postgres flexible-server firewall-rule wird über die Azure CLI zum Erstellen, Löschen, Auflisten, Anzeigen und Aktualisieren von Firewallregeln verwendet.

Befehle:

  • create: Create an Azure Database for PostgreSQL flexible Server Firewall rule.
  • list: List the Azure Database for PostgreSQL flexible server firewall rules.
  • update: Update an Azure Database for PostgreSQL flexible Server Firewall rule.
  • show: Show the details of an Azure Database for PostgreSQL flexible server firewall rule.
  • delete: Delete an Azure Database for PostgreSQL flexible Server Firewall rule.

Die vollständige Liste von konfigurierbaren CLI-Parametern finden Sie in der Referenzdokumentation zur Azure CLI. In den folgenden Befehlen können Sie beispielsweise optional die Ressourcengruppe angeben.

Erstellen einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule create, um die neue Firewallregel für den Server zu erstellen. Zum Zulassen eines IP-Adressbereichs geben Sie die Start- und End-IP-Adressen an (siehe Beispiel). Dieser Befehl benötigt auch den Namen der Azure-Ressourcengruppe, in der sich der Server als Parameter befindet.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Zum Zulassen des Zugriffs für nur eine einzelne IP-Adresse geben Sie lediglich die einzelne IP-Adresse an (siehe Beispiel).

az postgres flexible-server firewall-rule create --name mydemoserver  --resource-group testGroup  --start-ip-address 1.1.1.1

Damit Anwendungen von Azure-IP-Adressen eine Verbindung mit Ihrer flexiblen Azure-Datenbank für PostgreSQL herstellen können, stellen Sie die IP-Adresse 0.0.0.0 als Start-IP bereit, wie in diesem Beispiel gezeigt.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 0.0.0.0

Wichtig

Diese Option konfiguriert die Firewall zum Zulassen des öffentlichen Zugriffs über Azure-Dienste und -Ressourcen auf diesen Server, einschließlich Verbindungen aus Abonnements anderer Kunden. Wenn Sie diese Option auswählen, stellen Sie sicher, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer beschränken.

Bei Erfolg listet jede Erstellungsbefehlsausgabe die Details der von Ihnen erstellten Firewallregel im JSON-Format (standardmäßig) auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Auflisten von Firewallregeln

Verwenden Sie den Befehl az postgres flexible-server firewall-rule list, um die vorhandenen Firewallregeln des Servers aufzulisten. Beachten Sie, dass das Attribut für den Servernamen in der Option --name angegeben wird.

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup

Die Ausgabe listet die Regeln (sofern vorhanden) standardmäßig im JSON-Format auf. Sie können die Option „--output table“ verwenden, um die Ergebnisse in einer Tabellenformat auszugeben, das leichter zu lesen ist.

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup --output table

Aktualisieren einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule update, um eine vorhandene Firewallregel für den Server zu aktualisieren. Geben Sie den Namen der vorhandenen Firewallregel als Eingabe sowie die zu aktualisierenden Attribute für die Start- und End-IP-Adresse ein.

az postgres flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Nach Erfolg listet die Befehlsausgabe die Details der Firewallregel auf, die Sie im JSON-Format aktualisiert haben (standardmäßig). Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Hinweis

Wenn die Firewallregel nicht vorhanden ist, wird die Regel durch den Updatebefehl erstellt.

Anzeigen der Details einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule show, um Details zu einer vorhandenen Firewallregel des Servers anzuzeigen. Geben Sie den Namen der vorhandenen Firewallregel als Eingabe an.

az postgres flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Bei erfolgreicher Ausführung listet die Befehlsausgabe die Details der von Ihnen angegebenen Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Löschen einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule delete, um eine vorhandene Firewallregel für den Server zu löschen. Geben Sie den Namen der vorhandenen Firewallregel an.

az postgres flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Bei erfolgreicher Ausführung wird keine Ausgabe angezeigt. Bei einem Fehler wird eine Fehlermeldung angezeigt.

Nächste Schritte