Privát hozzáférésű hálózat (virtuális hálózati integráció) az Azure Database for PostgreSQL-hez – rugalmas kiszolgáló
A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló
Ez a cikk a rugalmas Azure Database for PostgreSQL-kiszolgáló csatlakozási és hálózatkezelési fogalmait ismerteti.
Rugalmas Azure Database for PostgreSQL-kiszolgálópéldány létrehozásakor a következő hálózati lehetőségek közül kell választania: Privát hozzáférés (VNet-integráció) vagy nyilvános hozzáférés (engedélyezett IP-címek) és privát végpont. Ez a dokumentum a privát hozzáférés (VNet-integráció) hálózatkezelési lehetőségét ismerteti.
Privát hozzáférés (virtuális hálózati integráció)
Rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt helyezhet üzembe az Azure-beli virtuális hálózatban (virtuális hálózatban) VNET-injektálással. Az Azure-beli virtuális hálózatok privát és biztonságos hálózati kommunikációt biztosítanak. A virtuális hálózat erőforrásai az ezen a hálózaton hozzárendelt magánhálózati IP-címeken keresztül kommunikálhatnak.
Válassza ezt a hálózati lehetőséget, ha a következő képességeket szeretné használni:
- Csatlakozzon az azonos virtuális hálózatban lévő Azure-erőforrásokból a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz privát IP-címek használatával.
- A VPN vagy az Azure ExpressRoute használatával nem Azure-erőforrásokból csatlakozhat rugalmas Azure Database for PostgreSQL-kiszolgálópéldányához.
- Győződjön meg arról, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nem rendelkezik az interneten keresztül elérhető nyilvános végpontgal.
A fenti diagram elemei:
- A rugalmas Azure Databases for PostgreSQL-kiszolgálópéldányokat a rendszer a VNet-1 virtuális hálózat 10.0.1.0/24 alhálózatába injektálja.
- Az ugyanazon virtuális hálózaton belül különböző alhálózatokon üzembe helyezett alkalmazások közvetlenül hozzáférhetnek a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányokhoz.
- A másik virtuális hálózaton (VNet-2) üzembe helyezett alkalmazások nem rendelkeznek közvetlen hozzáféréssel a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányokhoz. A rugalmas kiszolgáló elérése előtt virtuális hálózati társviszony-létesítést kell végeznie egy privát DNS-zónához .
A virtuális hálózat fogalmai
Az Azure-beli virtuális hálózatok egy saját használatra konfigurált PRIVÁT IP-címteret tartalmaznak. A virtuális hálózatnak ugyanabban az Azure-régióban kell lennie, mint a rugalmas Azure Database for PostgreSQL-kiszolgálópéldánynak. A virtuális hálózatokkal kapcsolatos további információkért tekintse meg az Azure Virtual Network áttekintését.
Az alábbiakban néhány fogalmat ismerhet meg, amikor olyan virtuális hálózatokat használ, amelyekben az erőforrások integrálva vannak a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányokkal a virtuális hálózatba :
Delegált alhálózat. A virtuális hálózatok alhálózatokat (alhálózatokat) tartalmaznak. Az alhálózatok lehetővé teszik a virtuális hálózat kisebb címterekre való szegmentálását. Az Azure-erőforrások egy virtuális hálózaton belül meghatározott alhálózatokra vannak üzembe helyezve.
A virtuális hálózat integrált Azure Database for PostgreSQL-kiszolgálópéldányának delegált alhálózatban kell lennie. Vagyis csak rugalmas Azure Database for PostgreSQL-kiszolgálópéldányok használhatják ezt az alhálózatot. Az alhálózatra semmilyen más típusú Azure-erőforrás nem delegálható. A delegálási tulajdonság hozzárendelésével delegálhat egy alhálózatot
Microsoft.DBforPostgreSQL/flexibleServers
. Az alhálózathoz megadható legkisebb CIDR-tartomány a /28, amely 16 IP-címet biztosít, azonban a hálózat vagy alhálózat első és utolsó címe nem rendelhető hozzá egyetlen gazdagéphez sem. Az Azure öt IP-címet foglal le, amelyeket az Azure hálózatkezelése belsőleg használ, amely két ip-címet tartalmaz, amelyek nem rendelhetők hozzá a fent említett gazdagéphez. Így 11 elérhető IP-cím marad a /28 CIDR-tartományhoz, míg egyetlen rugalmas Azure Database for PostgreSQL-kiszolgálópéldány magas rendelkezésre állási funkciókkal négy címet használ. Replikációs és Microsoft Entra-kapcsolatok esetén győződjön meg arról, hogy az útvonaltáblák nem befolyásolják a forgalmat. Egy gyakori minta az összes kimenő forgalmat egy Azure Firewallon vagy egy egyéni helyszíni hálózati szűrőberendezésen keresztül irányítja át. Ha az alhálózat rendelkezik a szabályhoz társított útvonaltáblával, amely az összes forgalmat egy virtuális berendezésre irányítja:- Adjon hozzá egy szabályt az "AzureActiveDirectory" célszolgáltatáscímkével, majd az "Internet" következő ugrással
- Adjon hozzá egy, a cél IP-címtartományával megegyező szabályt, amely megegyezik a rugalmas Azure Database for PostgreSQL-kiszolgáló alhálózati tartományával, és következő ugrásként a "Virtuális hálózat"
Fontos
A nevek
AzureFirewallSubnet
,AzureFirewallManagementSubnet
ésAzureBastionSubnet
GatewaySubnet
az Azure-ban vannak fenntartva. Ezeket ne használja az alhálózat neveként.Hálózati biztonsági csoport (NSG). Az NSG-k biztonsági szabályai lehetővé teszik a virtuális hálózati alhálózatok és hálózati adapterek bejövő és kimenő hálózati forgalmának szűrését. További információkért tekintse meg az NSG áttekintését.
Az alkalmazásbiztonsági csoportok (ASG-k) egyszerűvé teszik a 4. réteg biztonságának szabályozását az NSG-k használatával a lapos hálózatokhoz. Gyorsan elvégezhető mindez:
- Csatlakozzon a virtuális gépekhez egy ASG-hez, vagy távolítsa el a virtuális gépeket egy ASG-ből.
- Dinamikusan alkalmazza a szabályokat ezekre a virtuális gépekre, vagy távolítsa el a szabályokat ezekről a virtuális gépekről.
További információkért tekintse meg az ASG áttekintését.
Jelenleg nem támogatjuk azokat az NSG-ket, ahol az ASG a rugalmas Azure Database for PostgreSQL-kiszolgálóval rendelkező szabály része. Jelenleg azt javasoljuk, hogy ip-alapú forrás- vagy célszűrést használjon egy NSG-ben.
A rugalmas Azure Database for PostgreSQL-kiszolgáló magas rendelkezésre állása és egyéb funkciói megkövetelik a forgalom küldését/fogadását az 5432-s célportra az Azure-beli virtuális hálózati alhálózaton belül, ahol a rugalmas Azure Database for PostgreSQL-kiszolgáló üzembe van helyezve, valamint az Azure Storage-ba naplóarchiválás céljából. Ha hálózati biztonsági csoportokat (NSG) hoz létre a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány felé vagy onnan érkező forgalom letiltásához azon az alhálózaton belül, ahol az üzembe van helyezve, győződjön meg arról, hogy engedélyezi a forgalmat az 5432-as célport felé az alhálózaton belül, valamint az Azure Storage szolgáltatáscímkével. Ezt a kivételszabályt tovább szűrheti, ha hozzáadja az Azure-régiót az us-east.storage címkéhez. Ha a Rugalmas Azure Database for PostgreSQL-kiszolgálópéldányba történő bejelentkezések hitelesítéséhez a Microsoft Entra-hitelesítést használja, engedélyezze a Microsoft Entra-azonosító felé irányuló kimenő forgalmat a Microsoft Entra szolgáltatáscímkéje használatával. Az Olvasási replikák Azure-régiók közötti beállításakor a rugalmas Azure Database for PostgreSQL-kiszolgálónak képesnek kell lennie arra, hogy az elsődleges és replika 5432-as célportra, valamint az elsődleges és replikakiszolgálókról érkező Azure-tárterületre irányuló forgalmat küldjön vagy fogadjon. Az Azure Storage-hoz szükséges cél TCP-port a 443.
saját DNS zónaintegráció. Az Azure privát DNS-zónaintegrációja lehetővé teszi a privát DNS feloldását az aktuális virtuális hálózaton belül, vagy bármely régión belüli társhálózaton belül, ahol a privát DNS-zóna kapcsolódik.
Privát DNS-zóna használata
Az Azure saját DNS megbízható és biztonságos DNS-szolgáltatást biztosít a virtuális hálózat számára. Az Azure saját DNS kezeli és feloldja a virtuális hálózat tartományneveit anélkül, hogy egyéni DNS-megoldást kellene konfigurálnia.
Ha privát hálózati hozzáférést használ az Azure-beli virtuális hálózattal, a dns-feloldás elvégzéséhez kötelező megadni a privát DNS-zóna adatait. A rugalmas Azure Database for PostgreSQL-kiszolgálópéldányok privát hálózati hozzáféréssel történő létrehozásához privát DNS-zónákat kell használni az Azure Database for PostgreSQL rugalmas kiszolgálópéldányainak privát hozzáféréssel történő konfigurálása során. Az új rugalmas Azure Database for PostgreSQL-kiszolgálópéldányok api-, ARM- vagy Terraform-alapú privát hálózati hozzáféréssel történő létrehozásához hozzon létre privát DNS-zónákat, és használja őket, miközben rugalmas Azure Database for PostgreSQL-kiszolgálópéldányokat konfigurál magánhozzáféréssel. További információ a Microsoft Azure REST API-specifikációiról. Ha az Azure Portalt vagy az Azure CLI-t használja rugalmas Azure Database for PostgreSQL-kiszolgálópéldányok létrehozásához, megadhat egy privát DNS-zónanevet, amelyet korábban ugyanabban az előfizetésben hozott létre, vagy egy alapértelmezett privát DNS-zóna automatikusan létrejön az előfizetésben.
Ha Azure API-t, Azure Resource Manager-sablont (ARM-sablont) vagy Terraformot használ, **hozzon létre privát DNS-zónákat..postgres.database.azure.com
Használja ezeket a zónákat az Azure Database for PostgreSQL rugalmas kiszolgálópéldányainak privát hozzáféréssel történő konfigurálása során. Használja például az űrlapot [name1].[name2].postgres.database.azure.com
vagy [name].postgres.database.azure.com
a . Ha úgy dönt, hogy az űrlapot [name].postgres.database.azure.com
használja, a név nem lehet az egyik rugalmas Azure Databases for PostgreSQL-kiszolgálópéldányhoz használt név, vagy a kiépítés során hibaüzenet jelenik meg. További információkért tekintse meg a privát DNS-zónák áttekintését.
Az Azure Portal, API, CLI vagy ARM használatával a privát DNS-zónát is módosíthatja a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány létrehozásakor megadottról egy másik privát DNS-zónára, amely azonos vagy eltérő előfizetéssel rendelkezik.
Fontos
A rugalmas Azure Database for PostgreSQL-kiszolgálópéldány létrehozásakor megadott privát DNS-zóna módosítása egy másik privát DNS-zónára jelenleg le van tiltva a magas rendelkezésre állási funkcióval rendelkező kiszolgálók esetében.
Miután létrehozott egy privát DNS-zónát az Azure-ban, hozzá kell kapcsolnia egy virtuális hálózatot. A csatolás után a virtuális hálózatban üzemeltetett erőforrások hozzáférhetnek a privát DNS-zónához.
Fontos
A továbbiakban nem érvényesítjük a virtuális hálózati kapcsolat jelenlétét a rugalmas Azure Database for PostgreSQL-kiszolgáló kiszolgálói létrehozásakor, privát hálózatkezeléssel. Amikor a portálon keresztül hoz létre kiszolgálót, lehetőséget biztosítunk az ügyfélnek, hogy az Azure Portalon a "Kapcsolat saját DNS Zóna a virtuális hálózathoz" jelölőnégyzeten keresztül hozzon létre hivatkozást a kiszolgálólétrehozáshoz.
A DNS privát zónái rugalmasak a regionális kimaradásokkal szemben, mivel a zónaadatok globálisan elérhetők. A privát zónában lévő erőforrásrekordok automatikusan replikálódnak a régiók között. Az Azure saját DNS egy rendelkezésre állási zóna alapszintű, zóna-újraegyensúlyozó szolgáltatása. További információt a rendelkezésre állási zóna támogatásával rendelkező Azure-szolgáltatásokban talál.
Integráció egyéni DNS-kiszolgálóval
Ha egyéni DNS-kiszolgálót használ, egy DNS-továbbítót kell használnia a rugalmas Azure Database for PostgreSQL-kiszolgáló teljes tartománynevének feloldásához. A továbbító IP-címének 168.63.129.16-osnak kell lennie.
Az egyéni DNS-kiszolgálónak a virtuális hálózaton belül kell lennie, vagy elérhetőnek kell lennie a virtuális hálózat DNS-kiszolgálóbeállításán keresztül. További információ: Saját DNS-kiszolgálót használó névfeloldás.
saját DNS zóna- és virtuális hálózati társviszony-létesítés
saját DNS zónabeállítások és a virtuális hálózatok közötti társviszony-létesítés független egymástól. Ha egy olyan ügyfélről szeretne csatlakozni a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz, amely ugyanabból a régióból vagy egy másik régióból egy másik virtuális hálózaton van kiépítve, a privát DNS-zónát össze kell kapcsolnia a virtuális hálózattal. További információ: A virtuális hálózat összekapcsolása.
Feljegyzés
Csak a "postgres.database.azure.com" végződésű privát DNS-zónanevek csatolhatók. A DNS-zóna neve nem lehet azonos a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány(ok) nevével, ellenkező esetben a névfeloldás sikertelen lesz.
A kiszolgálónév DNS-rekordhoz való leképezéséhez futtassa az nslookup parancsot az Azure Cloud Shellben az Azure PowerShell vagy a Bash használatával, és helyettesítse a kiszolgáló nevét server_name> paraméterhez <az alábbi példában:
nslookup -debug <server_name>.postgres.database.azure.com | grep 'canonical name'
Küllős magánhálózat-tervezés használata
A küllős és a küllős hálózatkezelési modell a gyakori kommunikációs vagy biztonsági követelmények hatékony kezelésére szolgáló népszerű hálózatkezelési modell.
A központ egy virtuális hálózat, amely központi helyként szolgál a külső kapcsolatok kezeléséhez. Emellett több számítási feladat által használt szolgáltatásokat is üzemeltet. A központ koordinálja a küllők felé és a küllők felől érkező összes kommunikációt. Az informatikai szabályok vagy az olyan folyamatok, mint a biztonság megvizsgálják, átirányítják és központilag kezelik a forgalmat. A küllők számítási feladatokat üzemeltető virtuális hálózatok, amelyek virtuális hálózattársítás révén kapcsolódnak a központhoz. A megosztott szolgáltatások a küllőkkel való megosztáshoz a saját alhálózataikban vannak üzemeltetve. A szegélyhálózat ezután biztonsági berendezésként működik.
A küllők egyben olyan Azure-beli virtuális hálózatok, amelyek az egyéni számítási feladatok elkülönítésére szolgálnak. A helyszíni központ és az Azure közötti forgalom expressRoute-on vagy helyeken keresztül csatlakozik a helyek VPN-éhez, és csatlakozik a központi virtuális hálózathoz. A küllőktől a központba vezető virtuális hálózatok társítás révén kapcsolódnak egymáshoz, és lehetővé teszik a helyszíni erőforrásokkal való kommunikációt. A központ és minden egyes küllő létrehozható más-más előfizetésekben vagy erőforráscsoportokban.
A küllős virtuális hálózatok egymáshoz való csatlakoztatásának három fő mintája van:
- Küllők, amelyek közvetlenül csatlakoznak egymáshoz. A virtuális hálózatok közötti társviszonyok vagy VPN-alagutak a küllős virtuális hálózatok között jönnek létre, hogy közvetlen kapcsolatot biztosítsanak a központi virtuális hálózat bejárása nélkül.
- A küllők hálózati berendezésen keresztül kommunikálnak. Minden küllős virtuális hálózat rendelkezik társviszony-létesítéssel a Virtual WAN-hoz vagy egy központi virtuális hálózathoz. A berendezés küllőről küllőre irányítja a forgalmat. A berendezést a Microsoft (a Virtual WAN-hez hasonlóan) vagy Ön felügyelheti.
- A küllők közötti kommunikáció engedélyezéséhez a központi hálózathoz csatlakoztatott virtuális hálózati átjáró és a felhasználói útvonalak (UDR) használata.
Az Azure Virtual Network Manager (AVNM) használatával új (és meglévő) központ- és küllős virtuális hálózati topológiákat hozhat létre a kapcsolat- és biztonsági vezérlők központi felügyeletéhez.
Kommunikáció privát hálózatú ügyfelekkel különböző régiókban
Az ügyfeleknek gyakran különböző Azure-régiókhoz kell csatlakozniuk az ügyfelekhez. Pontosabban ez a kérdés általában a különböző régiókban található két VNET (amelyek közül az egyik rugalmas Azure Database for PostgreSQL-kiszolgálóval és egy másik alkalmazásügyféllel rendelkezik). Az ilyen kapcsolatok többféleképpen is elérhetők, többek között a következők:
- Globális virtuális hálózatok közötti társviszony-létesítés. A leggyakoribb módszertan, mivel ez a legegyszerűbb módja a különböző régiókban található hálózatok összekapcsolásának. A globális virtuális hálózatok közötti társviszony-létesítés közvetlenül a két társviszonyban lévő virtuális hálózat között hoz létre kapcsolatot az Azure gerinchálózatán keresztül. Ez biztosítja a legjobb hálózati átviteli sebességet és a legalacsonyabb késéseket a kapcsolathoz ezzel a módszerrel. A VNET-ek társviszonya esetén az Azure automatikusan kezeli az útválasztást, ezek a virtuális hálózatok a VPN-átjárón létrehozott társhálózat összes erőforrásával kommunikálhatnak.
- Virtuális hálózatok közötti kapcsolat. A VIRTUÁLIS HÁLÓZAT–VIRTUÁLIS HÁLÓZAT kapcsolat lényegében egy VPN a két különböző Azure-hely között. A VIRTUAL NETWORK-to-VIRTUAL NETWORK kapcsolat vpn-átjárón jön létre. Ez azt jelenti, hogy a forgalom két további forgalomugratással jár a globális virtuális hálózatok közötti társviszony-létesítéshez képest. A módszerhez képest további késés és alacsonyabb sávszélesség is rendelkezésre áll.
- Kommunikáció hálózati berendezésen keresztül a küllős architektúrában**. A küllős virtuális hálózatok közvetlen összekapcsolása helyett hálózati berendezésekkel továbbíthatja a küllők közötti forgalmat. A hálózati berendezések több hálózati szolgáltatást nyújtanak, például a mély csomagvizsgálatot, a forgalom szegmentálását vagy monitorozását, de késést és teljesítménybeli szűk keresztmetszeteket okozhatnak, ha nem megfelelő méretűek.
Replikáció Azure-régiók és virtuális hálózatok között privát hálózatkezeléssel
Az adatbázis-replikáció az adatok központi vagy elsődleges kiszolgálóról több, replikaként ismert kiszolgálóra történő másolásának folyamata. Az elsődleges kiszolgáló olvasási és írási műveleteket fogad el, míg a replikák írásvédett tranzakciókat szolgálnak ki. Az elsődleges kiszolgáló és a replikák együttesen alkotnak adatbázisfürtöt. Az adatbázis-replikáció célja az adatok redundanciájának, konzisztenciájának, magas rendelkezésre állásának és hozzáférhetőségének biztosítása, különösen a nagy forgalmú, kritikus fontosságú alkalmazásokban.
A rugalmas Azure Database for PostgreSQL-kiszolgáló két módszert kínál a replikációhoz: fizikai (vagyis streamelés) a beépített olvasási replika funkcióval és a logikai replikációval. Mindkettő ideális a különböző használati esetekhez, és a felhasználó a céltól függően választhat egyet a másik felett.
Az Azure-régiók közötti replikációhoz az egyes régiókban külön virtuális hálózatokkal (VNET-kkel) rendelkező virtuális hálózatok közötti kapcsolat szükséges, amely virtuális hálózatok közötti társviszony-létesítéssel vagy a küllős architektúrákban hálózati berendezésen keresztül biztosítható.
Alapértelmezés szerint a DNS-névfeloldás hatóköre egy virtuális hálózatra terjed ki. Ez azt jelenti, hogy az egyik virtuális hálózatban (VNET1) lévő ügyfél nem tudja feloldani a rugalmas Azure Database for PostgreSQL-kiszolgáló teljes tartománynevét egy másik virtuális hálózaton (VNET2).
A probléma megoldásához meg kell győződnie arról, hogy a VNET1 ügyfelei hozzáférhetnek a rugalmas Azure Database for PostgreSQL-kiszolgálóhoz saját DNS Zónához. Ez úgy érhető el, hogy hozzáad egy virtuális hálózati kapcsolatot a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány saját DNS zónájához.
Nem támogatott virtuális hálózati forgatókönyvek
Az alábbiakban néhány korlátozást talál a virtuális hálózati integrációval létrehozott virtuális hálózatokkal való munkához:
- Miután üzembe helyezett egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt egy virtuális hálózaton és alhálózaton, nem helyezheti át egy másik virtuális hálózatra vagy alhálózatra. A virtuális hálózatot nem helyezheti át másik erőforráscsoportba vagy előfizetésbe.
- Az alhálózat mérete (címtartományok) nem növelhető, ha az erőforrások már létrejöttek az alhálózaton.
- A virtuális hálózatba injektált erőforrások alapértelmezés szerint nem tudják használni a Private Linket. Ha privát hálózatkezeléshez szeretné használni a Private Linket , tekintse meg az Azure Database for PostgreSQL rugalmas kiszolgálói hálózatkezelést a Private Link használatával
Fontos
Az Azure Resource Manager biztonsági vezérlőként támogatja az erőforrások zárolását . Az erőforrás-zárolások az erőforrásra vonatkoznak, és minden felhasználó és szerepkör esetében érvényesek. Az erőforrás-zárolásnak két típusa van: a CanNotDelete és a ReadOnly. Ezek a zárolástípusok egy saját DNS zónára vagy egy adott rekordhalmazra alkalmazhatók. Ha bármilyen típusú zárolást alkalmaz saját DNS Zónára vagy egyéni rekordkészletre, az megzavarhatja a rugalmas Azure Database for PostgreSQL-kiszolgáló azon képességét, hogy frissítse a DNS-rekordokat, és problémákat okozzon a DNS-en végzett fontos műveletek során, például magas rendelkezésre állású feladatátvétel elsődlegesről másodlagosra. Ezen okokból győződjön meg arról, hogy a rugalmas Azure Database for PostgreSQL-kiszolgáló magas rendelkezésre állású funkcióinak használatakor nem használja a DNS privát zónáit vagy rekordzárolásait.
Gazdagép neve
A választott hálózati beállítástól függetlenül azt javasoljuk, hogy mindig használjon teljes tartománynevet gazdagépnévként, amikor rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz csatlakozik. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosítását.
A teljes tartománynevet gazdagépnévként használó példa az .hostname = servername.postgres.database.azure.com
Ha lehetséges, kerülje a (magáncím) vagy hostname = 40.2.45.67
a (nyilvános cím) használatát hostname = 10.0.0.4
.