Partage via


Mise en réseau d’Azure Database pour PostgreSQL – Serveur flexible avec Private Link

Azure Private Link vous permet de créer des points de terminaison privés pour le serveur flexible Azure Database pour PostgreSQL afin de le placer à l’intérieur de votre réseau virtuel. Cette fonctionnalité est introduite en plus des fonctionnalités de mise en réseau existantes déjà fournies par l’intégration au réseau virtuel, actuellement en disponibilité générale avec Azure Database pour PostgreSQL – Serveur flexible. Avec Private Link, le trafic entre votre réseau virtuel et le service transite par le réseau principal de Microsoft. L’exposition de votre service à l’Internet public n’est plus nécessaire. Vous pouvez créer votre propre service de liaison privée dans votre réseau virtuel et le distribuer à vos clients. La configuration et la consommation à l’aide d’Azure Private Link est cohérente entre le service Azure PaaS, les services appartenant au client et les services de partenaires partagés.

Remarque

Les liaisons privées sont disponibles seulement pour les serveurs disposant d’un réseau d’accès public. Elles ne peuvent pas être créés pour des serveurs disposant d’un accès privé (intégration au réseau virtuel).

Les liaisons privées peuvent être configurées seulement pour les serveurs qui ont été créés après la publication de cette fonctionnalité. Les serveurs qui existaient avant la publication de la fonctionnalité ne peuvent pas être définis avec des liaisons privées.

Private Link est exposé aux utilisateurs via deux types de ressources Azure :

  • Les points de terminaison privés (Microsoft.Network/PrivateEndpoints)
  • Les services Private Link (Microsoft.Network/PrivateLinkServices)

Points de terminaison privés

Un point de terminaison privé ajoute une interface réseau à une ressource, en lui fournissant une adresse IP privée affectée à partir de votre réseau virtuel. Une fois appliqué, vous pouvez communiquer avec cette ressource exclusivement via le réseau virtuel. Pour obtenir la liste des services PaaS prenant en charge la fonctionnalité Private Link, consultez la documentation de Private Link. Un point de terminaison privé est une adresse IP privée au sein d’un réseau virtuel et d’un sous-réseau spécifiques.

La même instance de service public peut être référencée par plusieurs points de terminaison privés dans différents réseaux virtuels/sous-réseaux, même s’ils ont des espaces d’adressage qui se chevauchent.

Azure Private Link offre les avantages suivants :

  • Accès privé aux services sur la plateforme Azure : connectez votre réseau virtuel à l’aide de points de terminaison privés à tous les services qui peuvent être utilisés en tant que composants d’application dans Azure. Les fournisseurs de services peuvent afficher leurs services dans leur propre réseau virtuel et les consommateurs peuvent accéder à ces services dans leur réseau virtuel local. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure.

  • Réseaux locaux et appairés : Accédez aux services s’exécutant dans Azure en local par le biais du peering privé ExpressRoute, de tunnels VPN et de réseaux virtuels appairés à l’aide de points de terminaison privés. Il n’est pas nécessaire de configurer le peering ExpressRoute Microsoft ni de transiter par Internet pour atteindre le service. Private Link offre un moyen sécurisé de migrer des charges de travail vers Azure.

  • Protection contre la fuite de données : Un point de terminaison privé est mappé à une instance d’une ressource PaaS plutôt qu’au service entier. Les consommateurs peuvent se connecter uniquement à la ressource spécifique. L’accès à toute autre ressource du service est bloqué. Ce mécanisme offre une protection contre les risques de fuite de données.

  • Global Reach : Connectez-vous en privé à des services s’exécutant dans d’autres régions. Le réseau virtuel du consommateur peut se trouver dans la région A et se connecter aux services qui se trouvent derrière Private Link dans la région B.

Les clients peuvent se connecter à un point de terminaison privé à partir du même réseau virtuel, d’un réseau virtuel homologué dans la même région ou entre des régions ou via la connexion de réseau virtuel à réseau virtuel entre des régions. Les clients peuvent également se connecter localement avec ExpressRoute, un appairage privé ou un tunneling VPN. Vous trouverez ci-dessous un diagramme simplifié montrant les cas d’usage courants.

Diagramme montrant comment Azure Private Link fonctionne avec des points de terminaison privés.

Matrice de disponibilité interfonctionnalités pour les points de terminaison privés dans Azure Database pour PostgreSQL – Serveur flexible.

Fonctionnalité Disponibilité Notes
Haute disponibilité (HA) Oui Fonctionne comme conçu
Réplica en lecture Oui Fonctionne comme conçu
Réplica en lecture avec des points de terminaison virtuels Oui Fonctionne comme conçu
Récupération jusqu`à une date et heure (PITR) Oui Fonctionne comme conçu
Autorise également l’accès public/Internet avec des règles de pare-feu Oui Fonctionne comme conçu
Mise à niveau de version majeure (MVU) Oui Fonctionne comme conçu
Authentification Microsoft Entra (Entra Auth) Oui Fonctionne comme conçu
Regroupement de connexions avec PGBouncer Oui Fonctionne comme conçu
DNS de point de terminaison privé Oui Fonctionne comme conçu et documenté
Chiffrement avec des clés gérées par le client (CMK) Oui Fonctionne comme conçu

Connexion à partir d’une machine virtuelle Azure dans un réseau virtuel appairé

Configurez l’appairage de réseaux virtuels pour établir la connectivité à Azure Database pour PostgreSQL – Serveur flexible à partir d’une machine virtuelle Azure dans un réseau virtuel appairé.

Connexion à partir d’une machine virtuelle Azure dans un environnement de réseau virtuel à réseau virtuel

Configurez une connexion de passerelle VPN de réseau virtuel à réseau virtuel afin d’établir la connectivité à une instance du serveur flexible Azure Database pour PostgreSQL à partir d’une machine virtuelle Azure dans une autre région ou un autre abonnement.

Connexion à partir d’un environnement local sur un VPN

Pour établir la connectivité à partir d’un environnement local vers l’instance du serveur flexible Azure Database pour PostgreSQL, choisissez et implémentez l’une des options suivantes :

Quand vous utilisez des points de terminaison privés, le trafic est sécurisé vers une ressource private-link. La plateforme valide les connexions réseau, en autorisant uniquement les connexions qui atteignent la ressource de liaison privée spécifiée. Pour accéder à d’autres sous-ressources au sein du même service Azure, d’autres points de terminaison privés avec des cibles correspondantes sont requis. Dans le cas de Stockage Azure, par exemple, vous auriez besoin de points de terminaison privés distincts pour accéder aux sous-ressources file et blob.

Les points de terminaison privés fournissent une adresse IP accessible en privé pour le service Azure, mais ne restreignent pas nécessairement l’accès à celui-ci via un réseau public. Toutefois, tous les autres services Azure nécessitent d’autres contrôles d’accès. Ces contrôles fournissent une couche de sécurité réseau supplémentaire à vos ressources, apportant une protection qui permet d’empêcher l’accès au service Azure associé à la ressource de liaison privée.

Les points de terminaison privés prennent en charge les stratégies réseau. Les stratégies réseau permettent la prise en charge des groupes de sécurité réseau (NSG), des routes définies par l’utilisateur (UDR) et des groupes de sécurité d’application (ASG). Pour plus d’informations sur l’activation des stratégies réseau pour un point de terminaison privé, consultez Gérer les stratégies réseau pour les points de terminaison privés. Pour utiliser un groupe de sécurité d’application avec un point de terminaison privé, consultez Configurer un groupe de sécurité d’application avec un point de terminaison privé.

Lorsque vous utilisez un point de terminaison privé, vous devez vous connecter au même service Azure, mais utiliser l’adresse IP du point de terminaison privé. La connexion de point de terminaison intime nécessite des paramètres Domain Name System (DNS) distincts pour résoudre l’adresse IP privée en nom de ressource. Les zones de DNS privé fournissent la résolution de noms de domaine au sein d’un réseau virtuel sans solution DNS personnalisée. Vous liez les zones DNS privées à chaque réseau virtuel pour fournir des services DNS à ce réseau.

Les zones DNS privées fournissent des noms de zones DNS distincts pour chaque service Azure. Par exemple, si vous avez configuré une zone DNS privée pour le service d’objets blob du compte de stockage dans l’image précédente, le nom des zones DNS est privatelink.blob.core.windows.net. Consultez la documentation Microsoft ici pour voir plus de noms de zones DNS privées pour tous les services Azure.

Remarque

Les configurations de zone DNS privée de point de terminaison privé ne génèrent automatiquement que si vous utilisez le schéma d’affectation de noms recommandé : privatelink.postgres.database.azure.com. Sur les serveurs d’accès public nouvellement approvisionnés (non injectés de réseau virtuel), il existe une modification temporaire de la disposition DNS. Le nom de domaine complet du serveur sera désormais un nom CName, résolu en enregistrement A, au format servername.privatelink.postgres.database.azure.com. Dans un avenir proche, ce format s’applique uniquement lorsque des points de terminaison privés sont créés sur le serveur.

DNS hybride pour les ressources Azure et locales

Le DNS (Domain Name System) est un point de conception critique dans l’architecture globale de la zone d’atterrissage. Certaines organisations peuvent souhaiter utiliser leurs investissements existants dans DNS, tandis que d’autres peuvent adopter des fonctionnalités Azure natives pour tous leurs besoins DNS. Vous pouvez utiliser le service Azure DNS Private Resolver conjointement avec des zones DNS privé Azure pour la résolution de noms entre différents locaux. Le programme de résolution privé DNS peut transférer une requête DNS vers un autre serveur DNS et fournit également une adresse IP qui peut être utilisée par le serveur DNS externe pour transférer des requêtes. Par conséquent, les serveurs DNS locaux externes sont capables de résoudre le nom situé dans une zone DNS privée.

Plus d’informations sur l’utilisation du Programme de résolution DNS privé avec le redirecteur DNS local pour transférer le trafic DNS vers Azure DNS, consultez ce document ainsi que ce document. Les solutions décrites permettent d’étendre le réseau local qui dispose déjà d’une solution DNS en place pour résoudre les ressources dans Azure. Architecture de Microsoft.

Les zones DNS privées sont généralement hébergées de manière centralisée dans le même abonnement Azure où le réseau virtuel hub est déployé. Cette pratique d’hébergement central est basée sur la résolution de noms DNS entre différents sites locaux et sur les autres besoins de résolution de DNS central, tels qu’Active Directory. Dans la plupart des cas, seuls les administrateurs réseau et d’identité ont le droit de gérer les enregistrements DNS dans les zones.

Dans cette architecture, les éléments suivants sont configurés :

  • Les serveurs DNS locaux ont des redirecteurs conditionnels configurés pour chaque zone DNS publique de point de terminaison privé, qui pointent vers le DNS Private Resolver hébergé dans le réseau virtuel du hub.
  • Le DNS Private Resolver hébergé dans le réseau virtuel du hub utilisent le DNS (168.63.129.16) fourni par Azure comme redirecteur.
  • Le hub réseau virtuel doit être lié aux noms de zones DNS privées pour les services Azure (tels que privatelink.postgres.database.azure.com, pour Azure Database pour PostgreSQL - Serveur flexible).
  • Tous les réseaux virtuels Azure utilisent le programme de résolution DNS privé hébergé dans le hub réseau virtuel.
  • Comme le programme de résolution de problème des serveurs privés DNS ne font pas autorité pour les domaines d’entreprise du client, comme ce n’est uniquement qu’un redirecteur, (par exemple, les noms de domaine Active Directory), il doit avoir des redirecteurs conditionnels pour les domaines d’entreprise du client, pointant vers les serveurs DNS locaux ou les serveurs DNS déployés dans Azure qui font autorité pour ces zones.

Par défaut, les stratégies réseau sont désactivées pour un sous-réseau dans un réseau virtuel. Pour utiliser des stratégies réseau telles que les routes définies par les utilisateurs et le support de groupe de sécurité réseau, la prise en charge de la stratégie réseau doit être activée pour le sous-réseau. Ce paramètre s’applique uniquement aux points de terminaison privés au sein du sous-réseau. Ce paramètre affecte tous les points de terminaison privés du sous-réseau. Pour les autres ressources du sous-réseau, l’accès est contrôlé en fonction des règles de sécurité du groupe de sécurité réseau.

Les stratégies réseau peuvent être activées uniquement pour les groupes de sécurité réseau, pour les routes User-Defined uniquement ou pour les deux. Pour plus d’informations, consultez la documentation Azure

Les limitations des groupes de sécurité réseau (NSG) et des points de terminaison privés sont répertoriées ici

Important

Protection contre la fuite de données : Un point de terminaison privé est mappé à une instance d’une ressource PaaS plutôt qu’au service entier. Les consommateurs peuvent se connecter uniquement à la ressource spécifique. L’accès à toute autre ressource du service est bloqué. Ce mécanisme offre une protection de base contre les risques de fuite de données.

Les situations et résultats suivants sont possibles lorsque vous utilisez Private Link en association avec des règles de pare-feu :

  • Si vous ne configurez pas aucune règle de pare-feu, aucun trafic ne peut par défaut accéder à l’instance du serveur flexible Azure Database pour PostgreSQL.

  • Si vous configurez un trafic public ou un point de terminaison de service et que vous créez des points de terminaison privés, différents types de trafic entrant sont alors autorisés par le type de règle de pare-feu correspondant.

  • Si vous ne configurez aucun trafic public ni point de terminaison de service et que vous créez des points de terminaison privés, l’instance du serveur flexible Azure Database pour PostgreSQL est alors uniquement accessible via les points de terminaison privés. Si vous ne configurez aucun trafic public ni point de terminaison de service, après le rejet ou la suppression de tous les points de terminaison privés approuvés, aucun trafic n’est en mesure d’accéder à l’instance du serveur flexible Azure Database pour PostgreSQL.

Dépannage des problèmes de connectivité avec les réseaux basés sur les points de terminaison privés

Vous trouverez ci-dessous les éléments de base à vérifier si vous rencontrez des problèmes de connectivité lors de l’utilisation d’un réseau basé sur des points de terminaison privés :

  1. Vérifiez les attributions d’adresses IP : vérifiez que le point de terminaison privé a l’adresse IP correcte affectée et qu’il n’existe aucun conflit avec d’autres ressources. Pour plus d’informations sur le point de terminaison privé et l’adresse IP, consultez ce document
  2. Vérifiez les groupes de sécurité réseau (NSG) : passez en revue les règles de groupe de sécurité réseau pour le sous-réseau du point de terminaison privé afin de vous assurer que le trafic nécessaire est autorisé et n’a pas de règles en conflit. Pour plus d’informations sur le NSG, consultez cette documentation
  3. Valider la configuration de la table de routage : vérifiez que les tables de routage associées au sous-réseau du point de terminaison privé et les ressources connectées sont correctement configurées avec les itinéraires appropriés.
  4. Utilisez la supervision et les diagnostics réseau : tirez parti d'Azure Network Watcher pour surveiller et diagnostiquer le trafic réseau à l’aide d’outils tels que Moniteur de connexion ou Capture de paquets. Pour plus d’informations sur les diagnostics réseau, consultez ce document

Des détails supplémentaires sur la résolution des problèmes privés sont également disponibles dans ce guide

Dépannage de la résolution DNS avec les réseaux basés sur les points de terminaison privés

Vous trouverez ci-dessous les éléments de base à vérifier si vous rencontrez des problèmes de résolution DNS lors de l'utilisation d'un réseau basé sur des points de terminaison privés :

  1. Valider la résolution DNS : vérifiez si le serveur ou le service DNS utilisé par le point de terminaison privé et les ressources connectées fonctionnent correctement. Assurez-vous que les paramètres DNS du point de terminaison privé sont corrects. Pour plus d’informations sur les points de terminaison privés et les paramètres de la zone DNS, consultez ce document
  2. Effacer le cache DNS : effacez le cache DNS sur le point de terminaison privé ou l’ordinateur client pour vous assurer que les dernières informations DNS sont récupérées et éviter les erreurs incohérentes.
  3. Analyser les journaux DNS : passez en revue les journaux DNS pour les messages d’erreur ou les modèles inhabituels, tels que les échecs de requête DNS, les erreurs de serveur ou les délais d’expiration. Pour plus d’informations sur les métriques DNS, consultez ce document

Étapes suivantes

  • Découvrez comment créer une instance de serveur flexible Azure Database pour PostgreSQL en utilisant l’option Accès privé (intégration au réseau virtuel) dans le Portail Azure ou l’interface Azure CLI.