Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Private Link lehetővé teszi privát végpontok létrehozását a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz, hogy az bekerüljön a virtuális hálózatba. Ez a funkció ajánlott alternatíva a virtuális hálózati integráció által biztosított hálózati képességek helyett.
A Private Link használatával a virtuális hálózat és a szolgáltatás közötti forgalom áthalad a Microsoft gerinchálózatán. Ezáltal kiküszöbölhető a szolgáltatás nyilvános internetes kitettsége. Létrehozhatja saját privát kapcsolati szolgáltatását a virtuális hálózatán belül, és eljuttathatja azt ügyfeleihez. A Private Link használatával történő beállítás és felhasználás konzisztens az Azure PaaS, az ügyfél tulajdonában lévő és a megosztott partnerszolgáltatások között.
A Private Link két Azure-erőforrástípuson keresztül érhető el a felhasználók számára:
- Privát végpontok (Microsoft.Network/PrivateEndpoints)
- Private Link-szolgáltatások (Microsoft.Network/PrivateLinkServices)
Privát végpontok
A privát végpont hálózati adaptert ad hozzá egy erőforráshoz, amely a virtuális hálózatból hozzárendelt magánhálózati IP-címmel rendelkezik. Az alkalmazás után kizárólag a virtuális hálózaton keresztül kommunikálhat ezzel az erőforrással. A Private Link funkciót támogató PaaS-szolgáltatások listájáért tekintse át a Private Link dokumentációját. A privát végpont egy privát IP-cím egy adott virtuális hálózaton és egy alhálózaton belül.
Több privát végpont különböző virtuális hálózatokban vagy alhálózatokban, még akkor is, ha átfedésben vannak a címtérekkel, hivatkozhatnak ugyanarra a nyilvános szolgáltatáspéldányra.
A Private Link főbb előnyei
A Private Link a következő előnyöket nyújtja:
- Szolgáltatások privát elérése az Azure-platformon: Csatlakoztassa a virtuális hálózatot privát végpontok használatával az Azure-ban alkalmazásösszetevőként használható összes szolgáltatáshoz. A szolgáltatók a saját virtuális hálózatukban jeleníthetik meg szolgáltatásaikat. A felhasználók hozzáférhetnek ezekhez a szolgáltatásokhoz a helyi virtuális hálózatukban. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül.
- Helyszíni és társhálózatok: Az Azure-ban futó szolgáltatások elérése a helyszíni azure ExpressRoute-beli privát társviszony-létesítésből, a virtuális magánhálózati (VPN-) alagutakból és a társhálózati virtuális hálózatokból privát végpontok használatával. A szolgáltatás eléréséhez nincs szükség az ExpressRoute Microsoft-társviszony-létesítés konfigurálására vagy az internetre való bejárásra. A Private Link biztonságos módot biztosít a számítási feladatok Azure-ba való migrálásához.
- Adatszivárgás elleni védelem: A privát végpontok a teljes szolgáltatás helyett egy PaaS-erőforrás egy példányára lesznek leképezve. A felhasználók csak az adott erőforráshoz csatlakozhatnak. A szolgáltatás bármely más erőforrásához való hozzáférés le van tiltva. Ez a mechanizmus védelmet nyújt az adatszivárgási kockázatok ellen.
- Globális elérés: Privát csatlakozás más régiókban futó szolgáltatásokhoz: A fogyasztó virtuális hálózata az A régióban lehet. Csatlakozhat a Private Link mögötti szolgáltatásokhoz a B régióban.
A Private Link és az Azure Database for PostgreSQL használati esetei
Az ügyfelek a következő forrásból csatlakozhatnak a privát végponthoz:
- Ugyanaz a virtuális hálózat.
- Társviszonyban lévő virtuális hálózat ugyanabban a régióban vagy régiók között.
- Hálózatok közötti kapcsolat a régiók között.
Az ügyfelek a helyszíni környezetből is csatlakozhatnak az ExpressRoute, a magánkapcsolat vagy a VPN-bújtatás használatával. Az alábbi egyszerűsített diagram a gyakori használati eseteket mutatja be.
A Private Link támogatott funkciói
Íme egy többfunkciós rendelkezésre állási mátrix a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány privát végpontjaihoz.
| Tulajdonság | Elérhetőség | Jegyzetek |
|---|---|---|
| Magas szintű rendelkezésre állás | Igen | A tervezésnek megfelelően működik. |
| Replika olvasása | Igen | A tervezésnek megfelelően működik. |
| Replika olvasása virtuális végpontokkal | Igen | A tervezésnek megfelelően működik. |
| Időponthoz kötött helyreállítás | Igen | A tervezésnek megfelelően működik. |
| Nyilvános/internetes hozzáférés engedélyezése tűzfalszabályokkal | Igen | A tervezésnek megfelelően működik. |
| Főverzió frissítés | Igen | A tervezésnek megfelelően működik. |
| Microsoft Entra-hitelesítés | Igen | A tervezésnek megfelelően működik. |
| Kapcsolatpoolozás a PGBouncerrel | Igen | A tervezésnek megfelelően működik. |
| Privát végpont DNS | Igen | Tervezett és dokumentált módon működik. |
| Titkosítás ügyfél által felügyelt kulccsal | Igen | A tervezésnek megfelelően működik. |
A privát végpontok csak olyan kiszolgálókhoz konfigurálhatók, amelyek azután lettek létrehozva, hogy az Azure Database for PostgreSQL bevezette a Private Link támogatását, és amelynek hálózati módja úgy lett konfigurálva, hogy ne virtuális hálózati integrációt, hanem nyilvános hozzáférést használjon.
Azok a kiszolgálók, amelyek ezen dátum előtt lettek létrehozva, és amelyek hálózati üzemmódját úgy konfigurálták, hogy ne használjon virtuális hálózati integrációt, hanem nyilvános hozzáférést, még nem támogatják a privát végpontok létrehozását. A privát végpontok használata jelenleg nem támogatott a virtuális hálózati integrációval létrehozott kiszolgálókon.
Csatlakozás egy Azure-beli virtuális gépről egy társhálózatban
Konfigurálja a virtuális hálózatok közötti társviszony-létesítést, hogy kapcsolatot létesítsen egy Azure virtuális gépről egy társított virtuális hálózatban egy rugalmas Azure Database for PostgreSQL kiszolgálópéldányhoz.
Csatlakozás egy Azure-beli virtuális gépről hálózatok közötti környezetben
Konfiguráljon egy hálózati–hálózati VPN-átjáróval való kapcsolatot, hogy kapcsolatot létesítsen egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldánnyal egy másik régióbeli vagy előfizetésbeli Azure-beli virtuális gépről.
Csatlakozás helyszíni környezetből VPN-en keresztül
Ha helyszíni környezetből szeretne kapcsolatot létesíteni a rugalmas Azure Database for PostgreSQL-kiszolgálópéldánysal, válassza ki és implementálja az alábbi lehetőségek egyikét:
Hálózati biztonság és privát kapcsolat
Privát végpontok használata esetén a forgalom privát kapcsolatú erőforráshoz lesz biztosítva. A platform ellenőrzi a hálózati kapcsolatokat, és csak azokat a kapcsolatokat engedélyezi, amelyek elérik a megadott privát kapcsolati erőforrást. Ha több alforrást szeretne elérni ugyanabban az Azure-szolgáltatásban, több privát végpontra van szükség a megfelelő célokkal. Az Azure Storage esetében például külön privát végpontokra lenne szükség a fájl- és blob-alforrás eléréséhez.
A privát végpontok privátan elérhető IP-címet biztosítanak az Azure-szolgáltatás számára, de nem feltétlenül korlátozzák a nyilvános hálózati hozzáférést. Minden más Azure-szolgáltatáshoz azonban más hozzáférés-vezérlés szükséges. Ezek a vezérlők további hálózati biztonsági réteget biztosítanak az erőforrások számára, amely védelmet nyújt a privát kapcsolatú erőforráshoz társított Azure-szolgáltatáshoz való hozzáférés megakadályozásához.
A privát végpontok támogatják a hálózati szabályzatokat. A hálózati házirendek lehetővé teszik a hálózati biztonsági csoportok (NSG-k), a felhasználó által megadott útvonalak (UDR-ek) és az alkalmazásbiztonsági csoportok (ASG-k) támogatását. A hálózati szabályzatok privát végpontokhoz való engedélyezéséről további információt a privát végpontok hálózati szabályainak kezelése című témakörben talál. Ha privát végponttal rendelkező ASG-t szeretne használni, tekintse meg az alkalmazásbiztonsági csoport privát végponttal való konfigurálását.
Privát kapcsolat és DNS
Privát végpont használata esetén ugyanahhoz az Azure-szolgáltatáshoz kell csatlakoznia, de a privát végpont IP-címét kell használnia. Az intim végpontkapcsolathoz külön tartománynévrendszer-(DNS-) beállításokra van szükség a privát IP-cím erőforrásnévre való feloldásához.
A privát DNS-zónák egyéni DNS-megoldás nélkül biztosítják a tartománynévfeloldásokat egy virtuális hálózaton belül. A privát DNS-zónákat az egyes virtuális hálózatokhoz csatolja, hogy DNS-szolgáltatásokat nyújtson az adott hálózathoz.
A privát DNS-zónák külön DNS-zónaneveket biztosítanak az egyes Azure-szolgáltatásokhoz. Ha például az előző képen konfigurált egy privát DNS-zónát a tárfiók-blobszolgáltatáshoz, a DNS-zóna neve .privatelink.blob.core.windows.net Tekintse át a Microsoft dokumentációját, és tekintse meg az összes Azure-szolgáltatás privát DNS-zónanevét.
Megjegyzés:
A privát végpont privát DNS-zónakonfigurációi csak akkor jönnek létre automatikusan, ha az ajánlott elnevezési sémát használja: privatelink.postgres.database.azure.com.
Az újonnan kiépített nyilvános hozzáférésű (nem virtuális hálózatba integrált) kiszolgálókon a DNS-elrendezés megváltozik. A kiszolgáló teljes tartományneve mostantól CNAME rekordtá válik, amely az servername.postgres.database.azure.com alábbi formátumok egyikében egy A rekordra mutat:
- Ha a kiszolgáló rendelkezik egy alapértelmezett privát DNS-zónával rendelkező privát végponttal, az A rekord a következő formátumot használja:
server_name.privatelink.postgres.database.azure.com. - Ha a kiszolgáló nem rendelkezik privát végpontokkal, akkor az A rekord ezt a formátumot
server_name.rs-<15 semi-random bytes>.postgres.database.azure.comhasználja.
Hibrid DNS az Azure-hoz és a helyszíni erőforrásokhoz
A DNS kritikus fontosságú tervezési elem a teljes kezdőzóna architektúrájában. Előfordulhat, hogy egyes szervezetek a DNS-ben meglévő befektetéseiket szeretnék használni. Előfordulhat, hogy mások natív Azure-képességeket szeretnének alkalmazni minden DNS-igényüknek megfelelően.
A helyek közötti névfeloldáshoz használhatja az Azure DNS Private Resolvert és az Azure Private DNS-zónákat. A DNS Private Resolver továbbíthat EGY DNS-kérést egy másik DNS-kiszolgálónak, és olyan IP-címet is biztosít, amelyet egy külső DNS-kiszolgáló használhat a kérések továbbításához. Így a külső helyszíni DNS-kiszolgálók képesek feloldani a privát DNS-zónában található neveket.
További információ a DNS Private Resolver helyszíni DNS-továbbítóval való használatáról a DNS-forgalom Azure DNS-be való továbbításához:
- Azure privát végpont DNS-integrációja
- Privát végpont DNS-infrastruktúrájának létrehozása az Azure Private Resolverrel helyszíni számítási feladatokhoz
A leírt megoldások kiterjesztenek egy helyszíni hálózatot, amely már rendelkezik DNS-megoldással az architektúra erőforrásainak Azure.Microsoft feloldásához.
Privát Link és DNS integráció a központi és elosztó hálózati architektúrákban
A privát DNS zónákat jellemzően központilag hosztolják ugyanabban az Azure előfizetésben, ahol a központi virtuális hálózat telepítve van. Ezt a központi üzemeltetési gyakorlatot a helyek közötti DNS-névfeloldás és a központi DNS-feloldáshoz szükséges egyéb igények vezérlik, például a Microsoft Entra. A legtöbb esetben csak a hálózati és identitáskezelő rendszergazdák rendelkeznek jogosultságokkal a DNS rekordok kezelésére a zónákban.
Az ilyen architektúrában a következő összetevők vannak konfigurálva:
- A helyszíni DNS-kiszolgálók feltételes továbbítókat konfiguráltak minden privát végpont nyilvános DNS-zónához, és a központi virtuális hálózaton üzemeltetett privát DNS-feloldóra mutatnak.
- A központi virtuális hálózaton üzemeltetett privát DNS-feloldó az Azure által biztosított DNS-t (168.63.129.16) használja továbbítóként.
- A központi virtuális hálózatot hozzá kell kapcsolni az Azure-szolgáltatások privát DNS-zónáinak nevéhez (például
privatelink.postgres.database.azure.comegy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz). - Minden Azure-beli virtuális hálózat a központi virtuális hálózaton üzemeltetett privát DNS-feloldót használja.
- A privát DNS-feloldó nem mérvadó az ügyfél vállalati tartományai számára, mert csak egy továbbító (például Microsoft Entra-tartománynevek), kimenő végponttovábbítókkal kell rendelkeznie az ügyfél vállalati tartományaihoz, a helyszíni DNS-kiszolgálókra vagy az Azure-ban üzembe helyezett DNS-kiszolgálókra mutatva, amelyek mérvadóak az ilyen zónákhoz.
Privát kapcsolat és hálózati biztonsági csoportok
Alapértelmezés szerint a hálózati házirendek le vannak tiltva egy virtuális hálózat alhálózata esetében. Az olyan hálózati házirendek használatához, mint az UDR-ek és az NSG-k támogatása, engedélyeznie kell a hálózati házirendek támogatását az alhálózathoz. Ez a beállítás csak az alhálózaton belüli privát végpontokra vonatkozik. Ez a beállítás az alhálózaton belüli összes privát végpontot érinti. Az alhálózat egyéb erőforrásai esetében a hozzáférés az NSG biztonsági szabályai alapján van szabályozva.
Hálózati házirendeket csak NSG-khez, csak UDR-ekhez vagy mindkettőhöz engedélyezheti. További információt a privát végpontok hálózati házirendjeinek kezelése című témakörben talál.
Az NSG-kre és a privát végpontokra vonatkozó korlátozások a Mi a privát végpont? listában találhatók.
Fontos
Adatszivárgás elleni védelem: A privát végpontok a teljes szolgáltatás helyett egy PaaS-erőforrás egy példányára lesznek leképezve. A felhasználók csak az adott erőforráshoz csatlakozhatnak. A szolgáltatás bármely más erőforrásához való hozzáférés le van tiltva. Ez a mechanizmus alapvető védelmet nyújt az adatszivárgási kockázatok ellen.
Private Link tűzfalszabályokkal való együttes használata
A privát kapcsolat tűzfalszabályokkal való együttes használata esetén a következő helyzetek és eredmények lehetségesek:
Ha nem konfigurál tűzfalszabályokat, a forgalom alapértelmezés szerint nem fér hozzá a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz.
Ha nyilvános forgalmat vagy szolgáltatásvégpontot konfigurál, és privát végpontokat hoz létre, a bejövő forgalom különböző típusait a megfelelő tűzfalszabály engedélyezi.
Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, és privát végpontokat hoz létre, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány csak privát végpontokon keresztül érhető el. Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, a jóváhagyott privát végpontok elutasítása vagy törlése után a forgalom nem fér hozzá a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz.
Hibaelhárítás
Ha rugalmas Azure Database for PostgreSQL-kiszolgálópéldánysal használ Privát kapcsolat végpontokat, a kapcsolati problémák a helytelen konfiguráció vagy a hálózati korlátozások miatt léphetnek fel. A problémák elhárításához ellenőrizze a privát végpontok, a DNS-konfigurációk, a hálózati biztonsági csoportok (NSG-k) és az útvonaltáblák beállítását. Ezeknek a területeknek a szisztematikus kezelése segíthet a gyakori problémák azonosításában és megoldásában, biztosítva a zökkenőmentes kapcsolatot és az adatbázishoz való biztonságos hozzáférést.
A privát végpontalapú hálózatkezelés csatlakozási problémái
Ha a privát végpontalapú hálózatkezelés használatakor csatlakozási problémák merülnek fel, ellenőrizze a következő területeket:
- IP-címhozzárendelések ellenőrzése: Ellenőrizze, hogy a privát végponthoz a megfelelő IP-cím van-e hozzárendelve, és hogy nincsenek-e ütközések más erőforrásokkal. További információ a privát végpontokról és az IP-címekről: Azure privát végpontok kezelése.
- NSG-k ellenőrzése: Tekintse át a privát végpont alhálózatának NSG-szabályait, hogy a szükséges forgalom engedélyezve legyen, és ne legyenek ütköző szabályok. Az NSG-kkel kapcsolatos további információkért lásd: Hálózati biztonsági csoportok.
- Útvonaltábla konfigurációjának ellenőrzése: Győződjön meg arról, hogy a privát végpont alhálózatához és a csatlakoztatott erőforrásokhoz társított útvonaltáblák megfelelően vannak konfigurálva a megfelelő útvonalakkal.
- Hálózati monitorozás és diagnosztika használata: Az Azure Network Watcher használatával figyelheti és diagnosztizálhatja a hálózati forgalmat olyan eszközökkel, mint a Kapcsolatfigyelő vagy a Csomagrögzítés. A hálózatdiagnosztikáról további információt az Azure Network Watcher bemutatása című témakörben talál.
A privát végpontok hibaelhárításával kapcsolatos további információk az Azure privát végpontok csatlakozási problémáinak elhárításában is elérhetők.
DNS-feloldás privát végpontalapú hálózatkezeléssel
Ha dns-feloldási problémákat tapasztal a privát végpontalapú hálózatkezelés használatakor, ellenőrizze a következő területeket:
- DNS-feloldás ellenőrzése: Ellenőrizze, hogy a privát végpont és a csatlakoztatott erőforrások által használt DNS-kiszolgáló vagy szolgáltatás megfelelően működik-e. Győződjön meg arról, hogy a privát végpont DNS-beállításai pontosak. További információ a privát végpontokról és a DNS-zóna beállításairól: Azure private endpoint Private DNS zone values.
- Törölje a DNS-gyorsítótárat: Törölje a DNS-gyorsítótárat a privát végponton vagy az ügyfélszámítógépen a legújabb DNS-adatok lekérésének biztosítása és az inkonzisztens hibák elkerülése érdekében.
- DNS-naplók elemzése: Tekintse át a DNS-naplókat hibaüzenetek vagy szokatlan minták, például DNS-lekérdezési hibák, kiszolgálóhibák vagy időtúllépések esetén. További információ a DNS-metrikákról: Azure DNS-metrikák és -riasztások.
Korlátozások és konnsziderációk
A privát végpontok csak a Private Link bevezetése után létrehozott kiszolgálókhoz konfigurálhatók. A virtuális hálózat (VNet) integrációját használó kiszolgálók nem jogosultak privát végpontkonfigurációra.
A privát végpontok számát nem maga az adatbázis-szolgáltatás korlátozza, hanem az Azure hálózatkezelési korlátai – pontosabban azoknak a privát végpontoknak a száma, amelyek egy adott alhálózatba injektálhatók a VNet 3-on belül.
A virtuális gépek privát végpontokon keresztül csatlakozhatnak az adatbázishoz, feltéve, hogy megfelelően vannak konfigurálva ugyanazon a virtuális hálózaton belül, vagy megfelelő útválasztással rendelkeznek.