Virtuális hálózati szolgáltatásvégpontok és szabályok használata az Önálló Azure Database for PostgreSQL-hez

A KÖVETKEZŐKRE VONATKOZIK: Azure Database for PostgreSQL – Önálló kiszolgáló

Fontos

Azure Database for PostgreSQL – Az önálló kiszolgáló a kivezetési útvonalon van. Határozottan javasoljuk, hogy frissítsen az Azure Database for PostgreSQL rugalmas kiszolgálóra. A rugalmas Azure Database for PostgreSQL-kiszolgálóra való migrálással kapcsolatos további információkért lásd: Mi történik az önálló Azure Database for PostgreSQL-kiszolgálóval?

A virtuális hálózati szabályok egy tűzfalbiztonsági funkció, amely azt szabályozza, hogy az Azure Database for PostgreSQL-kiszolgáló elfogadja-e a virtuális hálózatok bizonyos alhálózataiból küldött kommunikációt. Ez a cikk azt ismerteti, hogy a virtuális hálózati szabály funkció miért a legjobb megoldás az Azure Database for PostgreSQL-kiszolgálóval való kommunikáció biztonságossá tételéhez.

Virtuális hálózati szabály létrehozásához először egy virtuális hálózatnak (VNet) és egy virtuális hálózati szolgáltatásvégpontnak kell lennie a szabály hivatkozásához. Az alábbi kép bemutatja, hogyan működik egy virtuális hálózati szolgáltatásvégpont az Azure Database for PostgreSQL-lel:

Feljegyzés

Ez a funkció az Azure nyilvános felhő minden régiójában elérhető, ahol az Azure Database for PostgreSQL általános célú és memóriaoptimalizált kiszolgálókon van üzembe helyezve. Virtuális hálózatok közötti társviszony-létesítés esetén, ha a forgalom szolgáltatásvégpontokkal rendelkező közös virtuális hálózati átjárón halad át, és a társ felé halad, hozzon létre egy ACL/VNet-szabályt, amely lehetővé teszi, hogy az átjáró virtuális hálózatában lévő Azure-beli virtuális gépek hozzáférjenek az Azure Database for PostgreSQL-kiszolgálóhoz.

Megfontolhatja a Private Link használatát is a kapcsolatokhoz. A Private Link egy privát IP-címet biztosít a virtuális hálózatban az Azure Database for PostgreSQL-kiszolgálóhoz.

Terminológia és leírás

Virtuális hálózat: Az Azure-előfizetéshez virtuális hálózatok társíthatók.

Alhálózat: A virtuális hálózat alhálózatokat tartalmaz. A virtuális hálózaton belüli Összes Azure-beli virtuális gép (VM) alhálózathoz van rendelve. Az alhálózatok több virtuális gépet és/vagy más számítási csomópontot tartalmazhatnak. A virtuális hálózaton kívül eső számítási csomópontok csak akkor férhetnek hozzá a virtuális hálózathoz, ha a biztonságot a hozzáférés engedélyezésére konfigurálja.

Virtuális hálózati szolgáltatásvégpont: A virtuális hálózati szolgáltatásvégpontok olyan alhálózatok, amelyek tulajdonságértékei egy vagy több formális Azure-szolgáltatástípusnevet tartalmaznak. Ebben a cikkben a Microsoft.Sql típusneve érdekli, amely az SQL Database nevű Azure-szolgáltatásra hivatkozik. Ez a szolgáltatáscímke az Azure Database for PostgreSQL-re és a MySQL-szolgáltatásokra is vonatkozik. Fontos megjegyezni, hogy a Microsoft.Sql szolgáltatáscímke VNet-szolgáltatásvégpontra való alkalmazásakor konfigurálja az Azure Database Services szolgáltatásvégpont-forgalmát: AZ SQL Database, az Azure Synapse Analytics, az Azure Database for PostgreSQL és az Azure Database for MySQL-kiszolgálók az alhálózaton.

Virtuális hálózati szabály: Az Azure Database for PostgreSQL-kiszolgáló virtuális hálózati szabálya az Azure Database for PostgreSQL-kiszolgáló hozzáférés-vezérlési listájában (ACL) szereplő alhálózat. Ahhoz, hogy az Azure Database for PostgreSQL-kiszolgáló ACL-jében szerepeljen, az alhálózatnak tartalmaznia kell a Microsoft.Sql típusnevet.

Egy virtuális hálózati szabály arra utasítja az Azure Database for PostgreSQL-kiszolgálót, hogy fogadja el az alhálózaton található összes csomópontról érkező kommunikációt.

A virtuális hálózati szabály előnyei

A művelet végrehajtásáig az alhálózat(ok) virtuális gépei nem tudnak kommunikálni az Azure Database for PostgreSQL-kiszolgálóval. A kommunikációt létrehozó egyik művelet egy virtuális hálózati szabály létrehozása. A VNet-szabály megközelítésének kiválasztásához összehasonlítási és kontrasztos vita szükséges, amely a tűzfal által kínált konkurens biztonsági lehetőségeket foglalja magában.

Hozzáférés engedélyezése Azure-szolgáltatások számára

A Csatlakozás ion biztonsági panelen van egy BE/KI gomb, amelynek a címkéje Az Azure-szolgáltatásokhoz való hozzáférés engedélyezése. Az ON beállítás lehetővé teszi az összes Azure IP-címről és az összes Azure-alhálózatról érkező kommunikációt. Előfordulhat, hogy ezek az Azure IP-címek vagy alhálózatok nem Ön tulajdonában vannak. Ez az ON beállítás valószínűleg nyitottabb, mint azt szeretné, hogy az Azure Database for PostgreSQL Database legyen. A virtuális hálózati szabály funkció sokkal részletesebb vezérlést biztosít.

IP-szabályok

Az Azure Database for PostgreSQL tűzfal lehetővé teszi olyan IP-címtartományok megadását, amelyekből a kommunikáció az Azure Database for PostgreSQL-adatbázisba kerül. Ez a módszer az Azure-beli magánhálózaton kívüli stabil IP-címek esetében megfelelő. Az Azure-beli magánhálózat számos csomópontja azonban dinamikus IP-címekkel van konfigurálva. A dinamikus IP-címek változhatnak, például a virtuális gép újraindításakor. Érdemes dinamikus IP-címet megadni egy tűzfalszabályban, éles környezetben.

Az IP-címet a virtuális gép statikus IP-címének lekérésével mentheti. További részletekért lásd : Magánhálózati IP-címek konfigurálása virtuális gépekhez az Azure Portal használatával.

A statikus IP-alapú megközelítés azonban nehezen kezelhetővé válhat, és nagy méretek esetén költséges. A virtuális hálózati szabályok egyszerűbben alakíthatóak ki és kezelhetők.

A virtuális hálózati szabályok részletei

Ez a szakasz a virtuális hálózati szabályok számos részletét ismerteti.

Csak egy földrajzi régió

Minden virtuális hálózati szolgáltatásvégpont csak egy Azure-régióra vonatkozik. A végpont nem teszi lehetővé, hogy más régiók fogadják el az alhálózatról érkező kommunikációt.

Minden virtuális hálózati szabály arra a régióra korlátozódik, amelyre az alapul szolgáló végpont vonatkozik.

Kiszolgálószintű, nem adatbázisszintű

Minden egyes virtuális hálózati szabály a teljes Azure Database for PostgreSQL-kiszolgálóra vonatkozik, nem csak a kiszolgáló egy adott adatbázisára. Más szóval a virtuális hálózati szabály a kiszolgáló szintjén érvényes, nem az adatbázis szintjén.

Biztonsági felügyeleti szerepkörök

A virtuális hálózati szolgáltatásvégpontok felügyeletében a biztonsági szerepkörök különváltak. Műveletre van szükség az alábbi szerepkörök mindegyikéből:

• Hálózati Rendszergazda: Kapcsolja be a végpontot.
• Adatbázis-Rendszergazda: Frissítse a hozzáférés-vezérlési listát (ACL), hogy hozzáadja a megadott alhálózatot az Azure Database for PostgreSQL-kiszolgálóhoz.

Azure RBAC alternatíva:

A hálózati Rendszergazda és az adatbázis-Rendszergazda szerepkörei a virtuális hálózati szabályok kezeléséhez szükségesnél több képességekkel rendelkeznek. Csak a képességeik egy részhalmazára van szükség.

Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával egyetlen egyéni szerepkört hozhat létre, amely csak a szükséges képességek részhalmazával rendelkezik. Az egyéni szerepkör használható a Hálózati Rendszergazda vagy az Adatbázis Rendszergazda használata helyett. A biztonsági kitettség felülete alacsonyabb, ha felhasználót ad hozzá egy egyéni szerepkörhöz, és nem adja hozzá a felhasználót a másik két fő rendszergazdai szerepkörhöz.

Feljegyzés

Bizonyos esetekben az Azure Database for PostgreSQL és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

• Mindkét előfizetésnek ugyanabban a Microsoft Entra-bérlőben kell lennie.
• A felhasználó rendelkezik a szükséges engedélyekkel a műveletek elindításához, például a szolgáltatásvégpontok engedélyezéséhez és egy VNet-alhálózat hozzáadásához az adott kiszolgálóhoz.
• Győződjön meg arról, hogy mindkét előfizetés rendelkezik a Microsoft.Sql és a Microsoft.DBforPostgreSQL erőforrás-szolgáltató regisztrálva. További információ: resource-manager-registration

Korlátozások

Az Azure Database for PostgreSQL esetében a virtuális hálózati szabályok szolgáltatása a következő korlátozásokkal rendelkezik:

• A webalkalmazások egy virtuális hálózat/alhálózat privát IP-címére képezhetők le. Még akkor is, ha a szolgáltatásvégpontok be vannak kapcsolva az adott virtuális hálózatról/alhálózatról, a webalkalmazás és a kiszolgáló közötti kapcsolatok azure-beli nyilvános IP-forrással fognak rendelkezni, nem pedig virtuális hálózat/alhálózati forrással. Ha engedélyezni szeretné a webalkalmazás és a virtuális hálózati tűzfalszabályokat tartalmazó kiszolgáló közötti kapcsolatot, engedélyeznie kell az Azure-szolgáltatások számára, hogy hozzáférjenek a kiszolgáló kiszolgálóihoz.

• Az Azure Database for PostgreSQL tűzfalán minden virtuális hálózati szabály egy alhálózatra hivatkozik. Ezeket a hivatkozott alhálózatokat ugyanabban a földrajzi régióban kell üzemeltetni, amely az Azure Database for PostgreSQL-t üzemelteti.

• Minden Azure Database for PostgreSQL-kiszolgáló legfeljebb 128 ACL-bejegyzéssel rendelkezhet egy adott virtuális hálózathoz.

• A virtuális hálózati szabályok csak az Azure Resource Manager-alapú virtuális hálózatokra vonatkoznak; és nem a klasszikus üzemi modellhálózatok esetében.

• A virtuális hálózati szolgáltatásvégpontok Azure Database for PostgreSQL-re való bekapcsolása a Microsoft.Sql szolgáltatáscímkével lehetővé teszi az összes Azure Database-szolgáltatás végpontjait is: Az Azure Database for MySQL, az Azure Database for PostgreSQL, az Azure SQL Database és az Azure Synapse Analytics.

• A VNet-szolgáltatásvégpontok támogatása csak az általános célú és a memóriaoptimalizált kiszolgálók esetében támogatott.

• Ha a Microsoft.Sql engedélyezve van egy alhálózaton, az azt jelzi, hogy csak virtuális hálózati szabályokat szeretne használni a csatlakozáshoz. Az alhálózatban lévő erőforrások nem virtuális hálózati tűzfalszabályai nem működnek.

• A tűzfalon az IP-címtartományok a következő hálózati elemekre vonatkoznak, a virtuális hálózati szabályok azonban nem:

  • Helyek közötti (S2S) virtuális magánhálózat (VPN)
  • Helyszíni expressroute-on keresztül

ExpressRoute

Ha a hálózat az ExpressRoute használatával csatlakozik az Azure-hálózathoz, minden kapcsolatcsoport két nyilvános IP-címmel van konfigurálva a Microsoft Edge-en. A két IP-cím a Microsoft Serviceshez, például az Azure Storage-hoz való csatlakozáshoz használható az Azure Nyilvános társviszony-létesítés használatával.

A kapcsolatcsoport és az Azure Database for PostgreSQL közötti kommunikáció engedélyezéséhez IP-hálózati szabályokat kell létrehoznia a kapcsolatcsoportok nyilvános IP-címéhez. Az ExpressRoute-kapcsolatcsoport nyilvános IP-címeinek megkereséséhez nyisson meg egy támogatási jegyet az ExpressRoute-tal az Azure Portal használatával.

VNET-tűzfalszabály hozzáadása a kiszolgálóhoz a VNET-szolgáltatásvégpontok bekapcsolása nélkül

A virtuális hálózat tűzfalszabályának beállítása nem segít a kiszolgáló virtuális hálózathoz való védelmében. A virtuális hálózatok szolgáltatásvégpontjait is be kell kapcsolnia a biztonság érvénybe lépéséhez. Amikor bekapcsolja a szolgáltatásvégpontokat, a virtuális hálózat alhálózata állásidőt tapasztal, amíg be nem fejeződik a Ki és a Be közötti váltás. Ez különösen igaz a nagy virtuális hálózatokra. Az IgnoreMissingServiceEndpoint jelölő használatával csökkentheti vagy megszüntetheti az átmeneti állásidőt.

Az IgnoreMissingServiceEndpoint jelölőt az Azure CLI vagy a portál használatával állíthatja be.

Kapcsolódó cikkek

• Azure-beli virtuális hálózatok
• Azure-beli virtuális hálózati szolgáltatásvégpontok

Következő lépések

A virtuális hálózati szabályok létrehozásáról szóló cikkekért lásd:

• Azure Database for PostgreSQL VNet-szabályok létrehozása és kezelése az Azure Portal használatával
• Azure Database for PostgreSQL VNet-szabályok létrehozása és kezelése az Azure CLI használatával