Hinzufügen von Verbindungen mit privaten Endpunkten

Azure Database for PostgreSQL flexible Server ist ein Azure Private Link-Dienst. Dies bedeutet, dass Sie private Endpunkte erstellen können, damit Ihre Clientanwendungen private und sichere Verbindungen mit Ihrer Azure-Datenbank für PostgreSQL flexiblen Server herstellen können.

Ein privater Endpunkt für Ihre Azure-Datenbank für PostgreSQL flexible Server ist eine Netzwerkschnittstelle, die Sie in ein Subnetz eines virtuellen Azure-Netzwerks einfügen können. Jeder Host oder Dienst, der Netzwerkdatenverkehr an dieses Subnetz weiterleiten kann, kann mit Ihrem flexiblen Server kommunizieren, sodass der Netzwerkdatenverkehr nicht über das Internet geleitet werden muss. Der gesamte Datenverkehr wird privat über das Microsoft-Backbone gesendet.

Weitere Informationen zu Azure Private Link und Azure Private Endpoint finden Sie unter Häufig gestellte Fragen zu Azure Private Link.

Portal

Verwenden des Azure-Portals:

1. Wählen Sie Ihren flexiblen Azure Database for PostgreSQL-Server aus.

2. Wählen Sie im Ressourcenmenü "Netzwerk" aus.

   

3. Wenn Sie über die erforderlichen Berechtigungen zum Bereitstellen eines privaten Endpunkts verfügen, können Sie ihn erstellen, indem Sie "Privaten Endpunkt erstellen" auswählen.

   

Hinweis

Informationen zu den erforderlichen Berechtigungen für die Bereitstellung eines privaten Endpunkts finden Sie unter Azure RBAC-Berechtigungen für Azure Private Link.

4. Füllen Sie auf der Seite "Grundlagen " alle erforderlichen Details aus. Wählen Sie dann "Weiter: Ressource" aus.

   

5. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der Seite Grundeinstellungen verfügbar sind, und als Anleitung zum Ausfüllen der Seite:

   Setting	Vorgeschlagener Wert	Description
   Subscription	Wählen Sie den Namen des Abonnements aus, in dem Sie die Ressource erstellen möchten. Es wählt automatisch das Abonnement aus, in dem Ihr Server bereitgestellt wird.	Ein Abonnement ist eine Vereinbarung mit Microsoft über die Nutzung einer oder mehrerer Microsoft Cloud-Plattformen oder -Dienste, für die Gebühren entweder auf der Grundlage einer Lizenzgebühr pro Benutzer oder des cloudbasierten Ressourcenverbrauchs anfallen. Falls Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, über das die Ressource abgerechnet werden soll.
   Ressourcengruppe	Die Ressourcengruppe im ausgewählten Abonnement, in der Sie den privaten Endpunkt erstellen möchten. Es kann sich um eine vorhandene Ressourcengruppe handeln, oder Sie können Neu erstellen auswählen und einen Namen in diesem Abonnement angeben, der unter den vorhandenen Ressourcengruppennamen eindeutig ist. Sie wählt automatisch die Ressourcengruppe aus, in der Ihr Server bereitgestellt wird.	Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten. Sie entscheiden in Abhängigkeit davon, was für Ihre Organisation am sinnvollsten ist, wie Sie die Ressourcen den Ressourcengruppen zuordnen möchten. Fügen Sie im Allgemeinen Ressourcen hinzu, die denselben Lebenszyklus der gleichen Ressourcengruppe gemeinsam nutzen, damit Sie sie ganz einfach als Gruppe bereitstellen, aktualisieren und löschen können.
   Name	Der Name, den Sie dem privaten Endpunkt zuweisen möchten.	Ein eindeutiger Name, der den privaten Endpunkt identifiziert, über den Sie eine Verbindung mit Ihrer Azure-Datenbank für einen flexiblen Server für PostgreSQL herstellen können.
   Name der Netzwerkschnittstelle	Der Name, den Sie der Netzwerkschnittstelle zuweisen möchten, die dem privaten Endpunkt zugeordnet ist.	Ein eindeutiger Name, der die dem privaten Endpunkt zugeordnete Netzwerkschnittstelle identifiziert.
   Region	Der Name einer der Regionen, in denen Sie private Endpunkte für den flexiblen Server von Azure-Datenbank für PostgreSQL erstellen können.	Die ausgewählte Region muss mit dem des virtuellen Netzwerks übereinstimmen, in dem Sie den privaten Endpunkt bereitstellen möchten.

6. Füllen Sie auf der Seite "Ressource " alle erforderlichen Details aus. Wählen Sie dann "Weiter: Virtuelles Netzwerk" aus.

   

7. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der Seite " Ressource " verfügbar sind, und als Anleitung zum Ausfüllen der Seite:

   Setting	Vorgeschlagener Wert	Description
   Ressourcentyp	Automatisch auf Microsoft.DBforPostgreSQL/flexibleServers eingestellt	Dieser Wert wird automatisch für Sie ausgewählt und entspricht dem Typ der Ressource, die aus Sicht von Azure Private Link ein flexibler Azure-Datenbankserver für PostgreSQL ist.
   Ressource	Automatisch auf den Namen des Azure-Datenbank-PostgreSQL-flexiblen Servers festgelegt, für den Sie den privaten Endpunkt erstellen.	Der Name der Ressource, mit der der private Endpunkt eine Verbindung herstellt.
   Zielunterressource	Automatisch auf postgresqlServer gesetzt.	Der Typ der Unterressource für die ausgewählte Ressource, auf die Ihr privater Endpunkt zugreifen kann.

8. Füllen Sie auf der Seite "Virtuelles Netzwerk " alle erforderlichen Details aus. Wählen Sie dann "Weiter: DNS" aus.

   

9. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der Seite "Virtuelles Netzwerk " verfügbar sind, und um die Seite auszufüllen:

   Setting	Vorgeschlagener Wert	Description
   Virtuelles Netzwerk	Automatisches Festlegen auf das erste virtuelle Netzwerk (sortiert in alphabetischer Reihenfolge), das im ausgewählten Abonnement und der ausgewählten Region verfügbar ist.	Es werden nur virtuelle Netzwerke aufgeführt, für die Sie über Berechtigungen im aktuell ausgewählten Abonnement und der region verfügen.
   Subnetz	Automatisch auf den Namen der Azure-Datenbank für PostgreSQL flexiblen Server festgelegt, für den Sie den privaten Endpunkt erstellen.	Es werden nur Subnetze im aktuell ausgewählten virtuellen Netzwerk aufgelistet.
   Netzwerkrichtlinie für private Endpunkte	Standardmäßig sind Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk deaktiviert. Sie können Netzwerkrichtlinien nur für Netzwerksicherheitsgruppen, nur für benutzerdefinierte Routen oder für beides aktivieren.	Um Netzwerkrichtlinien wie benutzerdefinierte Routen und Netzwerksicherheitsgruppenunterstützung zu verwenden, muss die Netzwerkrichtlinienunterstützung für das Subnetz aktiviert sein. Diese Einstellung gilt nur für private Endpunkte im Subnetz und wirkt sich auf alle privaten Endpunkte im Subnetz aus. Für andere Ressourcen im Subnetz wird der Zugriff basierend auf Sicherheitsregeln in der Netzwerksicherheitsgruppe gesteuert. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.
   Konfiguration der privaten IP-Adresse	Wird automatisch so festgelegt, dass eine der verfügbaren IP-Adressen im Bereich dynamisch zugewiesen wird, der dem ausgewählten Subnetz zugewiesen ist.	Diese IP-Adresse ist die dem privaten Endpunkt zugeordnete Netzwerkschnittstelle. Sie kann dynamisch aus dem Bereich zugewiesen werden, der dem ausgewählten Subnetz zugewiesen ist, oder Sie können entscheiden, welche bestimmte Adresse Sie ihm zuweisen möchten. Nachdem der private Endpunkt erstellt wurde, können Sie dessen IP-Adresse nicht ändern, unabhängig davon, welche der beiden Zuordnungsmodi Sie während der Erstellung auswählen.
   Anwendungssicherheitsgruppe	Standardmäßig wird keine Anwendungssicherheitsgruppe zugewiesen. Sie können eine vorhandene auswählen oder sie erstellen und zuweisen.	Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Die Plattform behandelt die Komplexität expliziter IP-Adressen und mehrerer Regelsätze, sodass Sie sich auf Ihre Geschäftslogik konzentrieren können. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.

10. Füllen Sie auf der DNS-Seite alle erforderlichen Details aus. Wählen Sie dann "Weiter: Kategorien" aus.

    

11. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der DNS-Seite verfügbar sind, und als Anleitung zum Ausfüllen der Seite:

    Setting	Vorgeschlagener Wert	Description
    Integration in private DNS-Zone	Standardmäßig aktiviert.	Wählen Sie "Ja " aus, wenn Ihr privater Endpunkt in eine private Azure-DNS-Zone integriert werden soll, oder nein , wenn Sie Ihre eigenen DNS-Server verwenden möchten, oder wenn Sie den Namen des Endpunkts mithilfe von Hostdateien auf den Computern auflösen möchten, von denen Aus Sie eine Verbindung über den privaten Endpunkt herstellen möchten. Weitere Informationen finden Sie unter DNS-Konfiguration des privaten Endpunkts. Wenn Sie die Integration privater DNS-Zonen konfigurieren, wird die private DNS-Zone automatisch mit dem virtuellen Netzwerk verknüpft, in dem Sie den privaten Endpunkt erstellen.
    Konfigurationsname	Automatisches Festlegen für Sie auf privatelink-postgres-database-azure-com.	Der Name, der der DNS-Konfiguration zugewiesen ist, die der privaten DNS-Zone zugeordnet ist.
    Subscription	Wählen Sie den Namen des Abonnements aus, in dem Sie die private DNS-Zone erstellen möchten. Es wählt automatisch das Abonnement aus, in dem Ihr Server bereitgestellt wird.	Ein Abonnement ist eine Vereinbarung mit Microsoft über die Nutzung einer oder mehrerer Microsoft Cloud-Plattformen oder -Dienste, für die Gebühren entweder auf der Grundlage einer Lizenzgebühr pro Benutzer oder des cloudbasierten Ressourcenverbrauchs anfallen. Falls Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, über das die Ressource abgerechnet werden soll.
    Ressourcengruppe	Die Ressourcengruppe im ausgewählten Abonnement, in der Sie die private DNS-Zone erstellen möchten. Es muss sich um eine vorhandene Ressourcengruppe handeln. Sie wählt automatisch die Ressourcengruppe aus, in der Ihr Server bereitgestellt wird.	Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten. Sie entscheiden in Abhängigkeit davon, was für Ihre Organisation am sinnvollsten ist, wie Sie die Ressourcen den Ressourcengruppen zuordnen möchten. Fügen Sie im Allgemeinen Ressourcen hinzu, die denselben Lebenszyklus der gleichen Ressourcengruppe gemeinsam nutzen, damit Sie sie ganz einfach als Gruppe bereitstellen, aktualisieren und löschen können.
    Private DNS-Zone	Wird automatisch für Sie auf privatelink.postgres.database.azure.com eingestellt.	Dieser Name ist der der privaten DNS-Zonenressource zugewiesen.

12. Füllen Sie auf der Seite "Kategorien " alle erforderlichen Details aus. Wählen Sie dann "Weiter" aus: Überprüfen + erstellen.

    

13. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der Seite Tags verfügbar sind, und als Anleitung zum Ausfüllen der Seite:

    Setting	Vorgeschlagener Wert	Description
    Name	Lassen Sie dieses Feld leer.	Name des Tags, das Sie Ihrem privaten Endpunkt und Ihrer privaten DNS-Zone zuweisen möchten (wenn Sie die Integration privater DNS-Zonen auf der DNS-Seite ausgewählt haben).
    Wert	Lassen Sie dieses Feld leer.	Wert, den Sie dem Tag mit dem angegebenen Namen zuweisen möchten und die Sie Ihrem privaten Endpunkt und Ihrer privaten DNS-Zone zuweisen möchten (wenn Sie die Integration privater DNS-Zonen auf der DNS-Seite ausgewählt haben).
    Ressource	Lassen Sie dies standardmäßig.	Sie können auswählen, welchen Ressourcen das angegebene Tag zugewiesen werden soll. Dabei kann es sich um den privaten Endpunkt, die private DNS-Zone (wenn Sie private DNS-Zonenintegration in der DNS-Seite ausgewählt haben) oder beides sein.

14. Stellen Sie auf der Seite " Überprüfen + Erstellen " sicher, dass alles wie gewünscht konfiguriert ist. Wählen Sie dann Erstellen aus.

    

15. Eine Bereitstellung wird initiiert, und sie sehen eine Benachrichtigung, wenn die Bereitstellung abgeschlossen ist.

    

CLI

Wenn Sie über die erforderlichen Berechtigungen zum Bereitstellen eines privaten Endpunkts und zum Genehmigen der Verbindung mit dem privaten Endpunkt mit Ihrem Server verfügen, können Sie die private Endpunktverbindung über den Befehl "az network private-endpoint create " erstellen.

So erstellen Sie den privaten Endpunkt und weisen seiner Netzwerkschnittstelle eine IP-Adresse zu, die dynamisch aus dem Bereich zugewiesen wird, der dem ausgewählten Subnetz zugeordnet ist.

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Um den privaten Endpunkt zu erstellen und der Netzwerkschnittstelle eine IP-Adresse aus dem Bereich zuzuweisen, die dem ausgewählten Subnetz statisch zugeteilt wurde:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Wenn Sie über die erforderlichen Berechtigungen verfügen, sollte die private Endpunktverbindung automatisch genehmigt werden. Wenn dies der Fall ist, zeigt die Ausgabe des folgenden Befehls status als Approved und description als Auto-Approved.

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Dies az network private-endpoint create erstellt eine privatelink.postgres.database.azure.com private DNS-Zone, sofern sie nicht vorhanden ist. Außerdem wird die private DNS-Zone mit dem virtuellen Netzwerk verknüpft, in dem der private Endpunkt erstellt wird. Es erstellt jedoch keine DNS-Zonengruppe im privaten Endpunkt. Wenn Sie möchten, können Sie Ihren privaten Endpunkt in eine private DNS-Zone integrieren. Um dies zu tun:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Wenn Sie versuchen, den privaten Endpunkt mit einer statisch zugewiesenen privaten IP-Adresse zu erstellen, und die angegebene Adresse bereits von einer anderen Netzwerkschnittstelle verwendet wird, wird die folgende Fehlermeldung angezeigt:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Wenn Sie versuchen, den privaten Endpunkt zu erstellen und das virtuelle Netzwerk, auf das über die Parameter --subscription, --resource-group und --vnet-name verwiesen wird, nicht existiert. Oder wenn das virtuelle Netzwerk vorhanden ist, aber die Region, in der sie bereitgestellt wird, nicht mit der Region übereinstimmt, in der Sie versuchen, den privaten Endpunkt bereitzustellen, erhalten Sie die folgende Fehlermeldung:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Wenn Sie versuchen, den privaten Endpunkt zu erstellen, und einer bereits mit demselben Namen vorhanden ist, Sie jedoch einen anderen Wert für --connection-name oder für --vnet-namediesen angeben, wird die folgende Fehlermeldung angezeigt:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Wenn Sie versuchen, den privaten Endpunkt zu erstellen und einer bereits mit demselben Namen vorhanden ist, Sie jedoch einen anderen Wert angeben --subnet, wird die folgende Fehlermeldung angezeigt:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Wenn Sie versuchen, den privaten Endpunkt zu erstellen und einer bereits mit demselben Namen vorhanden ist, Sie jedoch einen anderen Wert angeben --location, wird die folgende Fehlermeldung angezeigt:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Verwandte Inhalte

• Netzwerk.
• Aktivieren des öffentlichen Zugriffs.
• Deaktivieren des öffentlichen Zugriffs.
• Hinzufügen von Firewallregeln.
• Löschen von Firewallregeln.
• Löschen von privaten Endpunktverbindungen.
• Genehmigen von privaten Endpunktverbindungen.
• Ablehnen privater Endpunktverbindungen.