Ajouter des connexions de point de terminaison privé

Le serveur flexible Azure Database pour PostgreSQL est un service Azure Private Link. Cela signifie que vous pouvez créer des points de terminaison privés afin que vos applications clientes puissent se connecter en privé et en toute sécurité à votre serveur flexible Azure Database pour PostgreSQL.

Un point de terminaison privé sur votre serveur flexible Azure Database pour PostgreSQL est une interface réseau que vous pouvez injecter dans un sous-réseau d’un réseau virtuel Azure. Tout hôte ou service capable d’acheminer le trafic réseau vers ce sous-réseau est en mesure de communiquer avec votre serveur flexible afin que le trafic réseau n’ait pas besoin de traverser Internet. Tout le trafic est envoyé de manière privée à l'aide de l'infrastructure principale de Microsoft.

Pour plus d’informations sur Azure Private Link et le point de terminaison privé Azure, consultez les questions fréquentes sur Azure Private Link.

Portal

Utilisation du portail Azure :

1. Sélectionnez votre serveur flexible Azure Database pour PostgreSQL.

2. Dans le menu des ressources, sélectionnez Mise en réseau.

   

3. Si vous disposez des autorisations requises pour déployer un point de terminaison privé, vous pouvez le créer en sélectionnant Créer un point de terminaison privé.

   

Note

Pour en savoir plus sur les autorisations nécessaires pour déployer un point de terminaison privé, consultez les autorisations RBAC Azure pour Azure Private Link.

4. Dans la page Informations de base , renseignez tous les détails requis. Ensuite, sélectionnez Suivant : Ressource.

   

5. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page Informations de base et comme conseils pour vous aider à remplir la page :

   Réglage	Valeur suggérée	Descriptif
   Subscription	Sélectionnez le nom de l’abonnement dans lequel vous souhaitez créer la ressource. Il sélectionne automatiquement l’abonnement dans lequel votre serveur est déployé.	Un abonnement est un contrat passé avec Microsoft permettant d’utiliser une ou plusieurs plateformes ou services cloud Microsoft, dont les frais correspondants sont basés soit sur un tarif de licence par utilisateur soit sur la consommation de ressources cloud. Si vous disposez de plusieurs abonnements, choisissez celui dans lequel vous souhaitez que la ressource soit facturée.
   Groupe de ressources	Groupe de ressources dans l’abonnement sélectionné, dans lequel vous souhaitez créer le point de terminaison privé. Il peut s’agir d’un groupe de ressources existant, ou vous pouvez sélectionner Créer et fournir un nom dans cet abonnement qui est unique parmi les noms de groupes de ressources existants. Il sélectionne automatiquement le groupe de ressources dans lequel votre serveur est déployé.	Un groupe de ressources est un conteneur réunissant les ressources associées d’une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement celles que vous souhaitez gérer en tant que groupe. Pour déterminer comment allouer des ressources aux groupes de ressources, choisissez l’approche la plus pertinente pour votre organisation. En règle générale, il convient d’ajouter des ressources qui partagent le même cycle de vie dans un même groupe de ressources afin de pouvoir facilement les déployer, les mettre à jour et les supprimer en tant que groupe.
   Nom	Nom que vous souhaitez affecter au point de terminaison privé.	Nom unique qui identifie le point de terminaison privé via lequel vous pouvez vous connecter à votre serveur flexible Azure Database pour PostgreSQL.
   Nom de l’interface réseau	Nom que vous souhaitez affecter à l’interface réseau associée au point de terminaison privé.	Nom unique qui identifie l’interface réseau associée au point de terminaison privé.
   Region	Nom de l’une des régions dans lesquelles vous pouvez créer des points de terminaison privés pour un serveur flexible Azure Database pour PostgreSQL.	La région que vous sélectionnez doit correspondre à celle du réseau virtuel dans lequel vous envisagez de déployer le point de terminaison privé.

6. Dans la page Ressource , renseignez tous les détails requis. Ensuite, sélectionnez Suivant : Réseau virtuel.

   

7. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles dans la page Ressource et pour obtenir des conseils pour remplir la page :

   Réglage	Valeur suggérée	Descriptif
   Type de ressource	Défini automatiquement sur Microsoft.DBforPostgreSQL/flexibleServers	Cette valeur est automatiquement choisie pour vous et correspond au type de ressource qu’un serveur flexible Azure Database pour PostgreSQL est, aux yeux d’Azure Private Link.
   Ressource	Définissez automatiquement le nom du serveur flexible Azure Database pour PostgreSQL pour lequel vous créez le point de terminaison privé.	Nom de la ressource à laquelle le point de terminaison privé se connecte.
   Sous-ressource cible	Défini automatiquement sur postgresqlServer.	Type de sous-ressource de la ressource sélectionnée, auquel votre point de terminaison privé est en mesure d’accéder.

8. Dans la page Réseau virtuel , renseignez tous les détails requis. Ensuite, sélectionnez Suivant : DNS.

   

9. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles dans la page Réseau virtuel , et comme conseils pour remplir la page :

   Réglage	Valeur suggérée	Descriptif
   Réseau virtuel	Définissez automatiquement le premier réseau virtuel (trié par ordre alphabétique) disponible dans l’abonnement et la région sélectionnés.	Seuls les réseaux virtuels sur lesquels vous disposez d’autorisations, dans l’abonnement et la région actuellement sélectionnés, sont répertoriés.
   Sous-réseau	Définissez automatiquement le nom du serveur flexible Azure Database pour PostgreSQL pour lequel vous créez le point de terminaison privé.	Seuls les sous-réseaux du réseau virtuel actuellement sélectionné sont répertoriés.
   Stratégie réseau pour les points de terminaison privés	Par défaut, les stratégies réseau sont désactivées pour un sous-réseau dans un réseau virtuel. Vous pouvez activer les stratégies réseau uniquement pour les groupes de sécurité réseau, pour les itinéraires définis par l’utilisateur uniquement ou pour les deux.	Pour utiliser des stratégies réseau telles que les itinéraires définis par l’utilisateur et la prise en charge des groupes de sécurité réseau, la prise en charge de la stratégie réseau doit être activée pour le sous-réseau. Ce paramètre s’applique uniquement aux points de terminaison privés du sous-réseau et affecte tous les points de terminaison privés du sous-réseau. Pour les autres ressources du sous-réseau, l’accès est contrôlé en fonction des règles de sécurité dans le groupe de sécurité réseau. Pour en savoir plus, consultez Gestion des stratégies réseau pour les points de terminaison privés.
   Configuration d’adresse IP privée	Définissez automatiquement l’allocation dynamique de l’une des adresses IP disponibles dans la plage affectée au sous-réseau sélectionné.	Cette adresse IP est celle affectée à l’interface réseau associée au point de terminaison privé. Il peut être alloué dynamiquement à partir de la plage affectée au sous-réseau sélectionné, ou vous pouvez décider de l’adresse spécifique que vous souhaitez lui attribuer. Une fois le point de terminaison privé créé, vous ne pouvez pas modifier son adresse IP, quel que soit le mode d’allocation que vous sélectionnez lors de la création.
   Groupe de sécurité d’application	Aucun groupe de sécurité d’application n’est affecté par défaut. Vous pouvez choisir un existant, ou vous pouvez en créer un et l’affecter.	Les groupes de sécurité d’application vous permettent de configurer la sécurité réseau en tant qu’extension naturelle de la structure d’une application, ce qui vous permet de regrouper des machines virtuelles et de définir des stratégies de sécurité réseau basées sur ces groupes. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle des adresses IP explicites. La plateforme gère la complexité des adresses IP explicites et de plusieurs ensembles de règles, ce qui vous permet de vous concentrer sur votre logique métier. Pour plus d’informations, consultez Groupes de sécurité d’application.

10. Dans la page DNS , renseignez tous les détails requis. Ensuite, sélectionnez Suivant : Balises.

    

11. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles dans la page DNS , et comme conseils pour remplir la page :

    Réglage	Valeur suggérée	Descriptif
    Intégrer à une zone DNS privée	Option activée par défaut.	Sélectionnez Oui si vous souhaitez que votre point de terminaison privé soit intégré à une zone DNS privée Azure, ou Non si vous souhaitez utiliser vos propres serveurs DNS, ou si vous souhaitez résoudre le nom du point de terminaison à l’aide de fichiers hôtes dans les ordinateurs à partir desquels vous souhaitez vous connecter via le point de terminaison privé. Pour plus d’informations, consultez Configuration DNS du point de terminaison privé. Si vous configurez l’intégration de zone DNS privée, la zone DNS privée est automatiquement liée au réseau virtuel dans lequel vous créez le point de terminaison privé.
    Nom de la configuration	Définissez automatiquement pour vous l’option privatelink-postgres-database-azure-com.	Nom attribué à la configuration DNS associée à la zone DNS privée.
    Subscription	Sélectionnez le nom de l’abonnement dans lequel vous souhaitez créer la zone DNS privée. Il sélectionne automatiquement l’abonnement dans lequel votre serveur est déployé.	Un abonnement est un contrat passé avec Microsoft permettant d’utiliser une ou plusieurs plateformes ou services cloud Microsoft, dont les frais correspondants sont basés soit sur un tarif de licence par utilisateur soit sur la consommation de ressources cloud. Si vous disposez de plusieurs abonnements, choisissez celui dans lequel vous souhaitez que la ressource soit facturée.
    Groupe de ressources	Groupe de ressources dans l’abonnement sélectionné, dans lequel vous souhaitez créer la zone DNS privée. Il doit s’agir d’un groupe de ressources existant. Il sélectionne automatiquement le groupe de ressources dans lequel votre serveur est déployé.	Un groupe de ressources est un conteneur réunissant les ressources associées d’une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement celles que vous souhaitez gérer en tant que groupe. Pour déterminer comment allouer des ressources aux groupes de ressources, choisissez l’approche la plus pertinente pour votre organisation. En règle générale, il convient d’ajouter des ressources qui partagent le même cycle de vie dans un même groupe de ressources afin de pouvoir facilement les déployer, les mettre à jour et les supprimer en tant que groupe.
    Zone DNS privée	Définissez automatiquement pour vous l’option privatelink.postgres.database.azure.com.	Ce nom est celui attribué à la ressource de zone DNS privée.

12. Dans la page Balises, renseignez tous les détails requis. Ensuite, sélectionnez Suivant : Vérifier + créer.

    

13. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page Balises et comme conseils pour vous aider à remplir la page :

    Réglage	Valeur suggérée	Descriptif
    Nom	Laissez ce champ vide.	Nom de la balise que vous souhaitez affecter à votre point de terminaison privé et à votre zone DNS privée (si vous avez sélectionné l’intégration de zone DNS privée dans la page DNS ).
    Valeur	Laissez ce champ vide.	Valeur que vous souhaitez affecter à la balise avec le nom donné et que vous souhaitez affecter à votre point de terminaison privé et à votre zone DNS privée (si vous avez sélectionné l’intégration de zone DNS privée dans la page DNS ).
    Ressource	Laissez par défaut.	Vous pouvez sélectionner les ressources que vous souhaitez affecter à la balise donnée. Il peut s’agir du point de terminaison privé, de la zone DNS privée (si vous avez sélectionné l’intégration de zone DNS privée dans la page DNS ) ou les deux.

14. Dans la page Vérifier + créer , vérifiez que tout est configuré comme vous le souhaitez. Ensuite, sélectionnez Créer.

    

15. Un déploiement est lancé et une notification s’affiche une fois le déploiement terminé.

    

CLI

Si vous disposez des autorisations requises pour déployer un point de terminaison privé et approuver la connexion de point de terminaison privé à votre serveur, vous pouvez créer la connexion de point de terminaison privé via la commande az network private-endpoint create .

Pour créer le point de terminaison privé et affecter à son interface réseau une adresse IP allouée dynamiquement à partir de la plage affectée au sous-réseau sélectionné :

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Pour créer le point de terminaison privé et affecter à son interface réseau une adresse IP allouée statiquement à partir de la plage affectée au sous-réseau sélectionné :

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Si vous disposez des autorisations requises, la connexion de point de terminaison privé doit être approuvée automatiquement. Si c’est le cas, la sortie de la commande suivante s’affiche status sous la forme Approved:descriptionAuto-Approved

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Si elle n’existe pas, az network private-endpoint create crée une privatelink.postgres.database.azure.com zone DNS privée. Et il lie la zone DNS privée au réseau virtuel dans lequel le point de terminaison privé est créé. Toutefois, il ne crée pas de groupe de zones DNS dans le point de terminaison privé si vous le souhaitez, vous pouvez intégrer votre point de terminaison privé à une zone DNS privée. Pour ce faire,

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Si vous essayez de créer le point de terminaison privé avec une adresse IP privée allouée statiquement et que l’adresse spécifiée est déjà utilisée par une autre interface réseau, vous obtenez l’erreur suivante :

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Si vous essayez de créer le point de terminaison privé et que le réseau virtuel référencé via les paramètres --subscription, --resource-group et --vnet-name n'existe pas. Ou si le réseau virtuel existe, mais que la région dans laquelle elle est déployée ne correspond pas à la région dans laquelle vous essayez de déployer le point de terminaison privé, vous obtenez l’erreur suivante :

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Si vous essayez de créer le point de terminaison privé et qu’il existe déjà avec le même nom, mais que vous spécifiez une valeur différente pour --connection-name ou pour --vnet-name, vous obtenez l’erreur suivante :

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Si vous essayez de créer le point de terminaison privé et qu’il existe déjà avec le même nom, mais que vous spécifiez une valeur différente pour --subnet, vous obtenez l’erreur suivante :

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Si vous essayez de créer le point de terminaison privé et qu’il existe déjà avec le même nom, mais que vous spécifiez une valeur différente pour --location, vous obtenez l’erreur suivante :

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Contenu connexe

• Mise en réseau.
• Activer l’accès public.
• Désactiver l’accès public.
• Ajouter des règles de pare-feu.
• Supprimer des règles de pare-feu.
• Supprimer des connexions de point de terminaison privé.
• Approuver des connexions de point de terminaison privé.
• Rejeter des connexions de point de terminaison privé.