Azure Database for PostgreSQL – Rugalmas kiszolgálói hálózatkezelés Private Link használatával
Az Azure Private Link lehetővé teszi privát végpontok létrehozását rugalmas Azure Database for PostgreSQL-kiszolgálóhoz, hogy az a virtuális hálózaton (virtuális hálózaton) belülre kerüljön. Ez a funkció a már meglévő, A VNET-integráció által biztosított hálózati képességek mellett jelenik meg, amely jelenleg általánosan elérhető a rugalmas Azure Database for PostgreSQL-kiszolgálóval. A Private Link segítségével a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán halad át. Ezáltal kiküszöbölhető a szolgáltatás nyilvános internetes kitettsége. Létrehozhatja saját privát kapcsolati szolgáltatását a virtuális hálózatán belül, és eljuttathatja azt ügyfeleihez. Az Azure Private Link használatával történő beállítás és használat konzisztens az Azure PaaS, az ügyfél tulajdonában lévő és a megosztott partnerszolgáltatások között.
Feljegyzés
A privát hivatkozások csak nyilvános hozzáférésű hálózattal rendelkező kiszolgálókhoz érhetők el. Nem hozhatók létre privát hozzáféréssel (VNET-integrációval) rendelkező kiszolgálókhoz.
A privát hivatkozások csak a funkció megjelenése után létrehozott kiszolgálókhoz konfigurálhatók. A szolgáltatás kiadása előtt létező kiszolgálók nem állíthatók be privát hivatkozásokkal.
A Private Link két Azure-erőforrástípuson keresztül érhető el a felhasználók számára:
- Privát végpontok (Microsoft.Network/PrivateEndpoints)
- Private Link Services (Microsoft.Network/PrivateLinkServices)
Privát végpontok
A privát végpont hálózati adaptert ad hozzá egy erőforráshoz, amely a virtuális hálózatról (virtuális hálózatból) hozzárendelt magánhálózati IP-címet biztosít neki. Az alkalmazás után kizárólag a virtuális hálózaton (VNET) keresztül kommunikálhat ezzel az erőforrással. A Private Link funkciót támogató PaaS-szolgáltatások listáját a Private Link dokumentációjában találja. A privát végpont egy privát IP-cím egy adott virtuális hálózaton és alhálózaton belül.
Ugyanarra a nyilvános szolgáltatáspéldányra több privát végpont is hivatkozhat különböző virtuális hálózatokban/alhálózatokban, még akkor is, ha átfedésben vannak a címtérekkel.
Az Azure Private Link főbb előnyei
Az Azure Private Link a következő előnyöket nyújtja:
Szolgáltatások privát elérése az Azure-platformon: Csatlakoztassa a virtuális hálózatot privát végpontokkal az Azure-ban alkalmazásösszetevőként használható összes szolgáltatáshoz. A szolgáltatók saját virtuális hálózatukban jeleníthetik meg szolgáltatásaikat, és a fogyasztók hozzáférhetnek ezekhez a szolgáltatásokhoz a helyi virtuális hálózatukban. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül.
Helyszíni és társhálózatok: Az Azure-ban futó szolgáltatások elérése a helyszíni expressroute-beli privát társviszony-létesítésen, VPN-alagutakon és privát végpontokat használó társhálózatokon keresztül. A szolgáltatás eléréséhez nincs szükség az ExpressRoute Microsoft-társviszony-létesítés konfigurálására vagy az internetre való bejárásra. A Private Link biztonságos módot biztosít a számítási feladatok Azure-ba való migrálásához.
Adatszivárgás elleni védelem: A privát végpontok a teljes szolgáltatás helyett egy PaaS-erőforrás egy példányára lesznek leképezve. A felhasználók csak az adott erőforráshoz csatlakozhatnak. A szolgáltatás bármely más erőforrásához való hozzáférés le van tiltva. Ez a mechanizmus védelmet nyújt az adatszivárgási kockázatok ellen.
Globális elérés: Privát csatlakozás más régiókban futó szolgáltatásokhoz. A fogyasztó virtuális hálózata az A régióban lehet, és a B régióban csatlakozhat a Private Link mögötti szolgáltatásokhoz.
Privát kapcsolat használati esetei rugalmas Azure Database for PostgreSQL-kiszolgálóval
Az ügyfelek ugyanabból a virtuális hálózatból, társviszonyban lévő virtuális hálózatból vagy régiók közötti virtuális hálózatból vagy régiók közötti virtuális hálózatok közötti kapcsolaton keresztül csatlakozhatnak a privát végponthoz. Emellett az ügyfelek expressRoute,privát társviszony-létesítés vagy VPN-bújtatás használatával csatlakozhatnak a helyszíniről. Az alábbiakban egy egyszerűsített diagram mutatja be a gyakori használati eseteket.
Korlátozások és támogatott funkciók a rugalmas Azure Database for PostgreSQL-kiszolgálóval való privát kapcsolathoz
Szolgáltatások közötti rendelkezésre állási mátrix a rugalmas Azure Database for PostgreSQL-kiszolgálón a privát végponthoz.
| Szolgáltatás | Elérhetőség | Jegyzetek |
|---|---|---|
| Magas rendelkezésre állás (HA) | Igen | Tervezett módon működik |
| Olvasási replika | Igen | Tervezett módon működik |
| Olvasási replika virtuális végpontokkal | Igen | Tervezett módon működik |
| Időponthoz kötött visszaállítás (PITR) | Igen | Tervezett módon működik |
| Nyilvános/internetes hozzáférés engedélyezése tűzfalszabályokkal | Igen | Tervezett módon működik |
| Főverzió-frissítés (MVU) | Igen | Tervezett módon működik |
| Microsoft Entra Authentication (Entra Auth) | Igen | Tervezett módon működik |
| Kapcsolatkészletezés a PGBouncerrel | Igen | Tervezett módon működik |
| Privát végpont DNS-címe | Igen | Tervezett és dokumentált módon működik |
| Titkosítás ügyfél által felügyelt kulcsokkal (CMK) | Igen | Tervezett módon működik |
Csatlakozás azure-beli virtuális gépről társhálózaton
Konfigurálja a virtuális hálózatok közötti társviszony-létesítést az Azure Database for PostgreSQL rugalmas kiszolgálóhoz való kapcsolódáshoz egy azure-beli virtuális gépről egy társhálózaton belül.
Csatlakozás Azure-beli virtuális gépről virtuális hálózatok közötti környezetben
Konfigurálja a virtuális hálózatok közötti VPN-átjárókapcsolatot , hogy kapcsolatot létesítsen egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldánysal egy másik régióban vagy előfizetésben lévő Azure-beli virtuális gépről.
Csatlakozás helyszíni környezetből VPN-en keresztül
Ha helyszíni környezetből szeretne kapcsolatot létesíteni a rugalmas Azure Database for PostgreSQL-kiszolgálópéldánysal, válassza ki és implementálja az alábbi lehetőségek egyikét:
Hálózati biztonság és privát kapcsolat
Privát végpontok használata esetén a forgalom privát kapcsolatú erőforráshoz lesz biztosítva. A platform ellenőrzi a hálózati kapcsolatokat, és csak azokat a kapcsolatokat engedélyezi, amelyek elérik a megadott privát kapcsolati erőforrást. Ha több alforrást szeretne elérni ugyanabban az Azure-szolgáltatásban, több privát végpontra van szükség a megfelelő célokkal. Az Azure Storage esetében például külön privát végpontokra lenne szükség a fájl- és blob-alforrás eléréséhez.
A privát végpontok privátan elérhető IP-címet biztosítanak az Azure-szolgáltatás számára, de nem feltétlenül korlátozzák a nyilvános hálózati hozzáférést. Minden más Azure-szolgáltatáshoz azonban más hozzáférés-vezérlésre van szükség. Ezek a vezérlők további hálózati biztonsági réteget biztosítanak az erőforrások számára, amely védelmet nyújt a privát kapcsolatú erőforráshoz társított Azure-szolgáltatáshoz való hozzáférés megakadályozásához.
A privát végpontok támogatják a hálózati szabályzatokat. A hálózati szabályzatok lehetővé teszik a hálózati biztonsági csoportok (NSG), a felhasználó által megadott útvonalak (UDR) és az alkalmazásbiztonsági csoportok (ASG) támogatását. A hálózati szabályzatok privát végpontokhoz való engedélyezéséről további információt a privát végpontok hálózati szabályainak kezelése című témakörben talál. Ha privát végponttal rendelkező ASG-t szeretne használni, tekintse meg az alkalmazásbiztonsági csoport (ASG) privát végponttal való konfigurálását.
Privát kapcsolat és DNS
Privát végpont használatakor ugyanahhoz az Azure-szolgáltatáshoz kell csatlakoznia, de a privát végpont IP-címét kell használnia. Az intim végpontkapcsolathoz külön tartománynévrendszer-(DNS-) beállításokra van szükség a magánhálózati IP-cím erőforrásnévre való feloldásához. saját DNS zónák adjon meg tartománynévfeloldási lehetőséget egy virtuális hálózaton egyéni DNS-megoldás nélkül. A privát DNS-zónákat az egyes virtuális hálózatokhoz csatolja, hogy DNS-szolgáltatásokat nyújtson az adott hálózathoz.
saját DNS zónák külön DNS-zónaneveket biztosítanak az egyes Azure-szolgáltatásokhoz. Ha például az előző képen egy privát DNS-zónát konfigurált a tárfiók blobszolgáltatásához, a DNS-zónák neve privatelink.blob.core.windows.net. Tekintse meg a Microsoft dokumentációját, és tekintse meg az összes Azure-szolgáltatás privát DNS-zónanevét.
Feljegyzés
A privát végpont privát DNS-zónakonfigurációi csak akkor jönnek létre automatikusan, ha az ajánlott elnevezési sémát használja: privatelink.postgres.database.azure.com Az újonnan kiépített nyilvános hozzáférésű (nem VNET-injektált) kiszolgálókon ideiglenes DNS-elrendezés-változás történik. A kiszolgáló teljes tartományneve mostantól egy CName lesz, amely feloldja az A rekordot, servername.privatelink.postgres.database.azure.com formátumban. A közeljövőben ez a formátum csak akkor lesz érvényes, ha privát végpontok jönnek létre a kiszolgálón.
Hibrid DNS az Azure-hoz és a helyszíni erőforrásokhoz
A tartománynévrendszer (DNS) kritikus tervezési témakör a kezdőzóna teljes architektúrájában. Előfordulhat, hogy egyes szervezetek szeretnének a DNS-ben meglévő befektetéseiket használni, míg mások natív Azure-képességeket szeretnének bevezetni minden DNS-igényüknek megfelelően. Az Azure DNS Private Resolver szolgáltatást az Azure saját DNS-zónákkal együtt használhatja a helyek közötti névfeloldáshoz. A DNS Private Resolver továbbíthatja a DNS-kéréseket egy másik DNS-kiszolgálónak, és olyan IP-címet is biztosít, amelyet a külső DNS-kiszolgáló a kérések továbbítására használhat. Így a külső helyszíni DNS-kiszolgálók képesek feloldani egy privát DNS-zónában található nevet.
További információ a saját DNS Resolver helyszíni DNS-továbbítóval való használatáról a DNS-forgalom Azure DNS-be való továbbításához, lásd ezt a dokumentumot, valamint ezt a dokumentumot. A leírt megoldások lehetővé teszik a helyszíni hálózat kiterjesztését, amely már rendelkezik DNS-megoldással az Azure-beli erőforrások feloldásához. Microsoft-architektúra.
Privát kapcsolat és DNS-integráció a küllős hálózati architektúrákban
saját DNS zónák központi üzemeltetése általában ugyanabban az Azure-előfizetésben történik, amelyben a központi virtuális hálózat üzemel. Ezt a központi üzemeltetési gyakorlatot a helyek közötti DNS-névfeloldás és a központi DNS-feloldáshoz, például az Active Directoryhoz szükséges egyéb igények vezérlik. A legtöbb esetben csak a hálózati és identitásgazdák rendelkeznek engedéllyel a zónák DNS-rekordjainak kezeléséhez.
Ilyen architektúrában a következő konfigurálva van:
- A helyszíni DNS-kiszolgálók feltételes továbbítókat konfiguráltak minden privát végpont nyilvános DNS-zónához, és a központi virtuális hálózaton üzemeltetett saját DNS Feloldóra mutatnak.
- A központi virtuális hálózaton üzemeltetett saját DNS-feloldó az Azure által biztosított DNS-t (168.63.129.16) használja továbbítóként.
- A központi virtuális hálózatot az Azure-szolgáltatások (például privatelink.postgres.database.azure.com, rugalmas Azure Database for PostgreSQL-kiszolgáló) saját DNS zónanevéhez kell csatolni.
- Minden Azure-beli virtuális hálózat a központi virtuális hálózatban üzemeltetett saját DNS Resolvert használja.
- Mivel a saját DNS Resolver nem mérvadó az ügyfél vállalati tartományai számára, mivel ez csak egy továbbító (például Active Directory-tartománynevek), kimenő végponttovábbítókkal kell rendelkeznie az ügyfél vállalati tartományaihoz, és az Azure-ban üzembe helyezett helyszíni DNS-kiszolgálókra vagy DNS-kiszolgálókra mutat, amelyek mérvadóak az ilyen zónákhoz.
Privát kapcsolat és hálózati biztonsági csoportok
Alapértelmezés szerint a hálózati házirendek le vannak tiltva egy virtuális hálózat alhálózata esetében. A hálózati házirendek, például a felhasználó által definiált útvonalak és a hálózati biztonsági csoportok támogatásának használatához engedélyezni kell a hálózati házirendek támogatását az alhálózaton. Ez a beállítás csak az alhálózaton belüli privát végpontokra vonatkozik. Ez a beállítás az alhálózaton belüli összes privát végpontot érinti. Az alhálózat egyéb erőforrásai esetében a hozzáférés a hálózati biztonsági csoport biztonsági szabályai alapján van szabályozva.
A hálózati házirendek csak hálózati biztonsági csoportokhoz, csak felhasználó által megadott útvonalakhoz vagy mindkettőhöz engedélyezhetők. További információkért tekintse meg az Azure-dokumentumokat
A hálózati biztonsági csoportokra (NSG) és a privát végpontokra vonatkozó korlátozások itt találhatók
Fontos
Adatszivárgás elleni védelem: A privát végpontok a teljes szolgáltatás helyett egy PaaS-erőforrás egy példányára lesznek leképezve. A felhasználók csak az adott erőforráshoz csatlakozhatnak. A szolgáltatás bármely más erőforrásához való hozzáférés le van tiltva. Ez a mechanizmus alapvető védelmet nyújt az adatszivárgási kockázatok ellen.
Private Link tűzfalszabályokkal való együttes használata
A privát kapcsolat tűzfalszabályokkal való együttes használata esetén a következő helyzetek és eredmények lehetségesek:
Ha nem konfigurál tűzfalszabályokat, akkor alapértelmezés szerint egyetlen forgalom sem fér hozzá a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz.
Ha nyilvános forgalmat vagy szolgáltatásvégpontot konfigurál, és privát végpontokat hoz létre, a bejövő forgalom különböző típusait a megfelelő tűzfalszabály-típus engedélyezi.
Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, és privát végpontokat hoz létre, akkor a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány csak a privát végpontokon keresztül érhető el. Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, a jóváhagyott privát végpontok elutasítása vagy törlése után egyetlen forgalom sem fér hozzá a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz.
A privát végpontalapú hálózatkezelés csatlakozási problémáinak elhárítása
Az alábbiakban alapvető területeket talál annak ellenőrzéséhez, hogy csatlakozási problémákat tapasztal-e a privát végpontalapú hálózatkezeléssel:
- IP-cím-hozzárendelések ellenőrzése: Ellenőrizze, hogy a privát végponthoz a megfelelő IP-cím van-e hozzárendelve, és hogy nincsenek-e ütközések más erőforrásokkal. További információ a privát végpontról és az IP-címről: ez a dokumentum
- Ellenőrizze a hálózati biztonsági csoportokat (NSG-k): Tekintse át a privát végpont alhálózatának NSG-szabályait, és győződjön meg arról, hogy a szükséges forgalom engedélyezett, és nincsenek ütköző szabályok. Az NSG-vel kapcsolatos további információkért lásd ezt a dokumentumot
- Útvonaltábla konfigurációjának ellenőrzése: Győződjön meg arról, hogy a privát végpont alhálózatához társított útvonaltáblák és a csatlakoztatott erőforrások megfelelően vannak konfigurálva a megfelelő útvonalakkal.
- Hálózatfigyelés és -diagnosztika használata: Az Azure Network Watcher használatával figyelheti és diagnosztizálhatja a hálózati forgalmat olyan eszközökkel, mint a kapcsolatfigyelő vagy a Csomagrögzítés. A hálózati diagnosztikáról további információt ez a dokumentum tartalmaz
A magánjellegű hibaelhárítással kapcsolatos további részletek ebben az útmutatóban is elérhetők
DNS-feloldás hibaelhárítása privát végpontalapú hálózatkezeléssel
Az alábbiakban alapvető területeket talál annak ellenőrzéséhez, hogy dns-feloldási problémákat tapasztal-e privát végpontalapú hálózatkezeléssel:
- DNS-feloldás ellenőrzése: Ellenőrizze, hogy a privát végpont által használt DNS-kiszolgáló vagy szolgáltatás és a csatlakoztatott erőforrások megfelelően működnek-e. Győződjön meg arról, hogy a privát végpont DNS-beállításai pontosak. További információ a privát végpontokról és a DNS-zóna beállításairól: ez a dokumentum
- A DNS-gyorsítótár törlése: Törölje a DNS-gyorsítótárat a privát végponton vagy az ügyfélszámítógépen a legújabb DNS-adatok lekérésének biztosítása és az inkonzisztens hibák elkerülése érdekében.
- DNS-naplók elemzése: Tekintse át a DNS-naplókat hibaüzenetek vagy szokatlan minták, például DNS-lekérdezési hibák, kiszolgálóhibák vagy időtúllépések esetén. A DNS-metrikákkal kapcsolatos további információkért tekintse meg ezt a dokumentumot
Következő lépések
- Megtudhatja, hogyan hozhat létre rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt az Azure Portalon vagy az Azure CLI-ben található Privát hozzáférés (VNet-integráció) lehetőséggel.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: