Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányok kapcsolati és hálózatkezelési fogalmait ismerteti.
Rugalmas Azure Database for PostgreSQL-kiszolgálópéldány létrehozásakor az alábbi hálózati lehetőségek közül kell választania:
- Privát hozzáférés (virtuális hálózati integráció)
- Nyilvános hozzáférés (engedélyezett IP-címek) és privát végpont
A következő jellemzők vonatkoznak arra, hogy a privát vagy a nyilvános hozzáférési lehetőséget választja-e:
- Az engedélyezett IP-címekről származó kapcsolatoknak hitelesíteni kell a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt érvényes hitelesítő adatokkal.
- A kapcsolattitkosítás kényszerítve van a hálózati forgalom számára.
- A kiszolgáló teljes tartománynévvel (FQDN) rendelkezik.
hostnameA kapcsolati sztring tulajdonság esetében javasoljuk, hogy IP-cím helyett használja a teljes tartománynevet. - Mindkét beállítás a kiszolgáló szintjén szabályozza a hozzáférést, nem az adatbázis vagy a tábla szintjén. A PostgreSQL szerepkör-tulajdonságaival szabályozhatja az adatbázis-, tábla- és egyéb objektumhozzáférést.
Feljegyzés
Mivel az Azure Database for PostgreSQL egy felügyelt adatbázis-szolgáltatás, a szolgáltatás nem biztosít hozzáférést a gazdagéphez vagy az operációs rendszerhez, így a felhasználók nem tekinthetik meg vagy módosíthatják az olyan konfigurációs fájlokat, mint például pg_hba.conf. A fájlok tartalma automatikusan frissül a hálózati beállítások alapján.
Nyilvános hozzáférésű hálózatkezelés használata az Azure Database for PostgreSQL-lel
A nyilvános hozzáférési módszer kiválasztásakor a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány egy nyilvános végponton keresztül érhető el az interneten keresztül. A nyilvános végpont egy nyilvánosan feloldható DNS-cím. Az engedélyezett IP-címek kifejezés olyan IP-címtartományra utal, amelyet úgy dönt, hogy engedélyt ad a kiszolgáló elérésére. Ezeket az engedélyeket tűzfalszabályoknak nevezzük.
Válassza ezt a hálózati lehetőséget, ha a következő képességeket szeretné használni:
- Olyan Azure-erőforrásokból csatlakozhat, amelyek nem támogatják a virtuális hálózatokat.
- Olyan Azure-on kívüli erőforrásokból csatlakozhat, amelyekhez nem VPN vagy Azure ExpressRoute csatlakozik.
- Győződjön meg arról, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálópéldány rendelkezik az interneten keresztül elérhető nyilvános végpontgal.
A nyilvános hozzáférési módszer jellemzői a következők:
Csak azok az IP-címek, amelyeket engedélyez, rendelkeznek jogosultsággal az Azure Database for PostgreSQL rugalmas kiszolgálópéldány eléréséhez. Alapértelmezés szerint nem engedélyezett IP-cím. Ip-címeket a kiszolgáló létrehozásakor vagy utána adhat hozzá.
A rugalmas Azure Database for PostgreSQL-kiszolgálópéldány nyilvánosan feloldható DNS-névvel rendelkezik.
Az Azure Database for PostgreSQL rugalmas kiszolgálópéldánya nincs az egyik Azure-beli virtuális hálózatában.
A kiszolgáló felé és a kiszolgálóról érkező hálózati forgalom nem halad át magánhálózaton. A forgalom az általános internetes útvonalakat használja.
Tűzfalszabályok
A kiszolgálószintű tűzfalszabályok egy rugalmas Azure Database for PostgreSQL-kiszolgálón lévő összes adatbázisra érvényesek. Ha a kérés forrás IP-címe a kiszolgálószintű tűzfalszabályokban megadott tartományok egyikén belül van, a kapcsolat meg lesz adva. Ellenkező esetben a rendszer elutasítja. Ha például az alkalmazás a PostgreSQL JDBC-illesztőjével csatlakozik, akkor ez a hiba akkor jelenhet meg, ha a tűzfal blokkolja a kapcsolatot.
java.util.concurrent.ExecutionException: java.lang.RuntimeException: org.postgresql.util.PSQLException: FATAL: no pg_hba.conf entry for host "123.45.67.890", user "adminuser", database "postgresql", SSL
Feljegyzés
Ha rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt szeretne elérni a helyi számítógépről, győződjön meg arról, hogy a hálózaton és a helyi számítógépen található tűzfal engedélyezi a kimenő kommunikációt az 5432-s TCP-porton.
Programozottan felügyelt tűzfalszabályok
Az Azure Portalon kívül programozott módon is kezelheti a tűzfalszabályokat az Azure CLI használatával. További információ: Hálózatkezelés.
Az összes Azure IP-cím engedélyezése
Javasoljuk, hogy keresse meg bármely alkalmazás vagy szolgáltatás kimenő IP-címét, és explicit módon engedélyezze az egyes IP-címekhez vagy -tartományokhoz való hozzáférést. Ha egy rögzített kimenő IP-cím nem érhető el az Azure-szolgáltatáshoz, érdemes lehet engedélyezni a kapcsolatokat az Azure-adatközpontok összes IP-címéről.
Ha engedélyezni szeretné ezt a beállítást az Azure Portalon, a Hálózatkezelés panelen jelölje be az Azure bármely szolgáltatásának nyilvános hozzáférésének engedélyezése ehhez a kiszolgálóhoz jelölőnégyzetet, majd válassza a Mentés lehetőséget.
Fontos
Az Azure-szolgáltatásokból és erőforrásokból való nyilvános hozzáférés engedélyezése az Azure-ban beállítás konfigurálja a tűzfalat, hogy engedélyezze az Azure-ból érkező összes kapcsolatot, beleértve a többi ügyfél előfizetéséből származó kapcsolatokat is. Ha ezt a lehetőséget választja, győződjön meg arról, hogy a bejelentkezés és a felhasználói engedélyek csak a jogosult felhasználók hozzáférését korlátozzák.
Nyilvános hozzáféréssel kapcsolatos problémák elhárítása
Vegye figyelembe a következő szempontokat, ha egy rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz való hozzáférés nem a várt módon működik:
Az engedélyezési lista módosításai még nem lépnek érvénybe. A rugalmas Azure Database for PostgreSQL-kiszolgáló tűzfalkonfigurációjának módosítása akár öt perces késéssel is járhat.
A hitelesítés nem sikerült. Ha egy felhasználó nem rendelkezik engedélyekkel a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz, vagy a jelszó helytelen, a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz való kapcsolat megszakad. Tűzfalbeállítás létrehozása csak az ügyfelek számára biztosít lehetőséget a kiszolgálóhoz való csatlakozásra. Minden ügyfélnek meg kell adnia a szükséges biztonsági hitelesítő adatokat.
A dinamikus ügyfél IP-címe megakadályozza a hozzáférést. Ha dinamikus IP-címzéssel rendelkező internetkapcsolattal rendelkezik, és nem tud átjutni a tűzfalon, próbálkozzon az alábbi megoldások egyikével:
- Kérje meg az internetszolgáltatótól (INTERNETP) a rugalmas Azure Database for PostgreSQL-kiszolgálópéldányt elérő ügyfélszámítógépekhez rendelt IP-címtartományt. Ezután adja hozzá az IP-címtartományt tűzfalszabályként.
- Ehelyett statikus IP-címzést kérhet le az ügyfélszámítógépekhez. Ezután adja hozzá a statikus IP-címet tűzfalszabályként.
A tűzfalszabály nem érhető el IPv6 formátumban. A tűzfalszabályoknak Ipv4-formátumban kell lenniük. Ha IPv6 formátumban ad meg tűzfalszabályokat, érvényesítési hiba jelenik meg.
Gazdagép neve
A választott hálózati beállítástól függetlenül azt javasoljuk, hogy mindig használjon teljes tartománynevet gazdagépnévként, amikor rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz csatlakozik. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosítását.
A teljes tartománynevet gazdagépnévként használó példa az .hostname = servername.postgres.database.azure.com Ha lehetséges, kerülje a (magáncím) vagy hostname = 10.0.0.4 a (nyilvános cím) használatát hostname = 40.2.45.67 .
Kimenő IP-címek tűzfalkonfigurációhoz
Ha a rugalmas Azure Database for PostgreSQL-kiszolgálópéldánynak kimenő kapcsolatokat kell létesítenie külső szolgáltatásokkal (például logikai replikációhoz, külső erőforrásokhoz csatlakozó bővítményekhez vagy külső adatforrásokhoz), előfordulhat, hogy tűzfalszabályokat kell konfigurálnia ezeken a külső szolgáltatásokon, hogy engedélyezze az adatbázis-kiszolgálóról érkező forgalmat.
A kiszolgáló IP-címének megkeresése
A rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz jelenleg hozzárendelt IP-cím megkeresése:
DNS-feloldás használata: Feloldhatja a kiszolgáló teljes tartománynevét (
servername.postgres.database.azure.com) az aktuális IP-cím lekéréséhez. Az alábbihoz hasonlónslookupdigeszközök használata:nslookup servername.postgres.database.azure.comAz Azure Portal használatával: Keresse meg rugalmas Azure Database for PostgreSQL-kiszolgálópéldányát az Azure Portalon. A kiszolgáló nyilvános IP-címe nem jelenik meg közvetlenül, de a kiszolgáló teljes tartománynevének feloldásával megtalálhatja.
Az Azure CLI használata: Az Azure CLI használatával információkat kérhet le a kiszolgálóról, majd feloldhatja a gazdagép nevét:
az postgres flexible-server show --resource-group myResourceGroup --name myServerName
A kimenő kapcsolatok fontos szempontjai
Az IP-címek változhatnak: A rugalmas Azure Database for PostgreSQL-kiszolgálópéldányhoz hozzárendelt nyilvános IP-cím nem statikus, és karbantartás, frissítések vagy egyéb működési események során változhat. Ha lehetséges, mindig használja a teljes tartománynevet, és szükség esetén rendszeresen frissítse a külső tűzfalszabályokat.
Azure-adatközpont IP-tartományai: A kiszámíthatóbb tűzfalkonfiguráció érdekében engedélyezheti a teljes Azure-adatközpont IP-tartományából érkező forgalmat arra a régióra vonatkozóan, ahol a kiszolgáló található. Az Azure közzéteszi az egyes régiók IP-tartományait az Azure IP-tartományok és szolgáltatáscímkék letöltésében.
Szolgáltatáscímkék: Ha a külső szolgáltatás, amelyhez csatlakozik, az Azure-ban is üzemel, fontolja meg az Azure Szolgáltatáscímkék használatát a dinamikusabb és karbantarthatóbb tűzfalszabályok érdekében.
Privát végpont alternatíva: A stabilabb kapcsolat és a nyilvános IP-címek elkerülése érdekében fontolja meg a privát végpontok használatát a nyilvános hozzáférés helyett.