Bagikan melalui

Private Link untuk server Azure Database for PostgreSQL-Server tunggal

  • Artikel

BERLAKU UNTUK: Azure Database for PostgreSQL - Server Tunggal

Penting

Azure Database for PostgreSQL - Server Tunggal berada di jalur penghentian. Kami sangat menyarankan Agar Anda meningkatkan ke Azure Database for PostgreSQL - Server Fleksibel. Untuk informasi selengkapnya tentang migrasi ke Azure Database for PostgreSQL - Server Fleksibel, lihat Apa yang terjadi pada Server Tunggal Azure Database for PostgreSQL?.

Private Link memungkinkan Anda membuat titik akhir privat untuk Azure Database for PostgreSQL - Server tunggal guna membawanya ke dalam Jaringan Virtual (VNet) Anda. Titik akhir privat mengekspos IP privat dalam subnet yang bisa Anda gunakan untuk menyambungkan ke server database sama seperti sumber daya lain di VNet.

Untuk daftar layanan PaaS yang mendukung fungsi Private Link, tinjau dokumentasi Private Link. Titik akhir privat adalah alamat IP privat dalam VNet dan Subnet tertentu.

Catatan

Fitur tautan privat hanya tersedia untuk server Azure Database for PostgreSQL di tingkat harga Tujuan Umum atau Memori yang Dioptimalkan. Pastikan server database berada di salah satu tingkat harga ini.

Pencegahan penyelundupan data

Penyelundupan data di Server tunggal Azure Database for PostgreSQL adalah ketika pengguna yang berwenang, seperti admin database, dapat mengekstrak data dari satu sistem dan memindahkannya ke lokasi atau sistem lain di luar organisasi. Misalnya, pengguna memindahkan data ke akun penyimpanan yang dimiliki oleh pihak ketiga.

Pertimbangkan skenario di mana pengguna yang menjalankan PGAdmin di dalam Azure Virtual Machine (VM) yang tersambung ke Server tunggal Azure Database for PostgreSQL yang diprovisikan di US Barat. Contoh di bawah ini memperlihatkan cara membatasi akses dengan titik akhir publik di Server tunggal Azure Database for PostgreSQL menggunakan kontrol akses jaringan.

  • Nonaktifkan semua lalu lintas layanan Azure ke Server tunggal Azure Database for PostgreSQL melalui titik akhir publik dengan mengatur Izinkan Layanan Azure ke NONAKTIF. Pastikan tidak ada alamat atau rentang IP yang diizinkan untuk mengakses server baik melalui aturan firewall atau titik akhir layanan jaringan virtual.

  • Hanya izinkan lalu lintas ke Server tunggal Azure Database for PostgreSQL menggunakan alamat IP Privat VM. Untuk informasi selengkapnya, lihat artikel tentang Titik Akhir Layanan dan aturan firewall VNet.

  • Di Azure VM, persempit cakupan koneksi keluar menggunakan Kelompok Keamanan Jaringan (NSG) dan Tag Layanan sebagai berikut

    • Tentukan aturan NSG untuk mengizinkan lalu lintas untuk Tag Layanan = SQL.WestUS - hanya mengizinkan koneksi ke Server tunggal Azure Database for PostgreSQL di US Barat
    • Tentukan aturan NSG (dengan prioritas lebih tinggi) untuk menolak lalu lintas untuk Tag Layanan = SQL - menolak koneksi ke Database PostgreSQL di semua wilayah

Di akhir penyiapan ini, Azure VM hanya dapat tersambung ke Server tunggal Azure Database for PostgreSQL di wilayah US Barat. Namun, konektivitas tidak dibatasi untuk satu Server tunggal Azure Database for PostgreSQL. VM masih bisa tersambung ke Server tunggal Azure Database for PostgreSQL di wilayah US Barat, termasuk database yang bukan bagian dari langganan. Meskipun kami telah mengurangi cakupan eksfiltrasi data dalam skenario di atas ke wilayah tertentu, kami belum menghilangkannya sama sekali.

Dengan Private Link, kini Anda dapat mengatur kontrol akses jaringan seperti NSG untuk membatasi akses ke titik akhir privat. Sumber daya Azure PaaS individual kemudian dipetakan ke titik akhir privat tertentu. Orang dalam yang berniat buruk hanya dapat mengakses sumber daya PaaS yang dipetakan (misalnya Server tunggal Azure Database for PostgreSQL) dan tidak dapat mengakses sumber daya lainnya.

Konektivitas on-premise melalui private peering

Saat Anda tersambung ke titik akhir publik dari komputer lokal, alamat IP Anda perlu ditambahkan ke firewall berbasis IP menggunakan aturan firewall tingkat Server. Meskipun model ini bekerja dengan baik untuk memungkinkan akses ke komputer individu untuk beban kerja pengembangan atau pengujian, sulit untuk dikelola di lingkungan produksi.

Dengan Private Link, Anda dapat mengaktifkan akses lintas lokasi ke titik akhir privat menggunakan Rute Ekspres (ER), peering privat, atau terowongan VPN. Mereka selanjutnya dapat menonaktifkan semua akses melalui titik akhir publik dan tidak menggunakan firewall berbasis IP.

Catatan

Dalam beberapa kasus, Azure Database for PostgreSQL dan subnet VNet dapat berada dalam langganan yang berbeda. Dalam kasus ini, Anda harus memastikan konfigurasi berikut:

  • Pastikan bahwa kedua langganan tersebut memiliki penyedia sumber Microsoft.DBforPostgreSQL yang terdaftar.

Proses Pembuatan

Titik akhir privat diperlukan untuk mengaktifkan Private Link. Hal ini dapat dilakukan menggunakan panduan cara berikut.

Proses Persetujuan

Setelah admin jaringan membuat titik akhir privat (PE), admin PostgreSQL dapat mengelola Koneksi titik akhir privat (PEC) ke Azure Database for PostgreSQL. Pemisahan tugas antara admin jaringan dan DBA ini sangat membantu untuk manajemen konektivitas Azure Database for PostgreSQL.

  • Navigasi ke sumber daya server Azure Database for PostgreSQL di portal Azure.
    • Pilih koneksi titik akhir privat di panel kiri
    • Menampilkan daftar semua Koneksi titik akhir privat (PEC)
    • Titik akhir privat (PE) yang sesuai dibuat

pilih portal titik akhir privat

  • Pilih PEC individual dari daftar dengan memilihnya.

pilih titik akhir privat yang menunggu persetujuan

  • Admin server PostgreSQL dapat memilih untuk menyetujui atau menolak PEC dan secara opsional menambahkan respons teks singkat.

pilih pesan titik akhir privat

  • Setelah persetujuan atau penolakan, daftar akan mencerminkan keadaan yang sesuai bersama dengan teks tanggapan

pilih status akhir titik akhir privat

Klien dapat tersambung ke titik akhir privat dari VNet yang sama, VNet yang di-peer di wilayah yang sama atau lintas wilayah, atau melalui koneksi VNet-ke-VNet lintas wilayah. Selain itu, klien dapat terhubung dari jaringan lokal menggunakan ExpressRoute, peering pribadi, atau terowongan VPN. Di bawah ini adalah diagram sederhana yang menunjukkan kasus penggunaan umum.

pilih ringkasan titik akhir privat

Menyambungkan dari Azure VM di Jaringan Virtual (VNet) Peer

Mengonfigurasi peering VNet untuk membangun konektivitas ke Azure Database for PostgreSQL - Server tunggal dari Azure VM di VNet yang di-peer.

Menyambungkan dari VM Azure di lingkungan VNet-ke-VNet

Konfigurasikan koneksi gateway VPN VNet-ke-VNet untuk membangun konektivitas ke Azure Database for PostgreSQL - Server tunggal dari Azure VM di wilayah atau langganan yang berbeda.

Menyambungkan dari lingkungan lokal melalui VPN

Untuk membangun konektivitas dari lingkungan lokal ke Azure Database for PostgreSQL - Server tunggal, pilih dan implementasikan salah satu opsi:

Situasi dan hasil berikut ini mungkin terjadi saat Anda menggunakan Private Link bersama dengan aturan firewall:

  • Jika Anda tidak mengonfigurasi aturan firewall apa pun, maka secara default, tidak ada lalu lintas yang dapat mengakses Server tunggal Azure Database for PostgreSQL.

  • Jika Anda mengonfigurasikan lalu lintas publik atau titik akhir layanan dan Anda membuat titik akhir pribadi, maka berbagai jenis lalu lintas masuk diotorisasi oleh jenis aturan firewall yang sesuai.

  • Jika Anda tidak mengonfigurasi lalu lintas atau titik akhir layanan publik dan Anda membuat titik akhir privat, maka Server tunggal Azure Database for PostgreSQL hanya dapat diakses melalui titik akhir privat. Jika Anda tidak mengonfigurasi lalu lintas atau titik akhir layanan publik, setelah semua titik akhir privat yang disetujui ditolak atau dihapus, tidak ada lalu lintas yang dapat mengakses Server tunggal Azure Database for PostgreSQL.

Menolak akses publik untuk Server tunggal Azure Database for PostgreSQL

Jika Anda hanya ingin mengandalkan titik akhir privat untuk mengakses Server tunggal Azure Database for PostgreSQL, Anda dapat menonaktifkan pengaturan semua titik akhir publik(aturan firewall dan titik akhir layanan VNet) dengan mengatur konfigurasi Tolak Akses Jaringan Publik di server database.

Saat pengaturan ini diatur ke YA, hanya koneksi melalui titik akhir privat yang diizinkan ke Azure Database for PostgreSQL Anda. Saat pengaturan ini diatur ke TIDAK, klien dapat menyambungkan ke Azure Database for PostgreSQL Anda berdasarkan pengaturan firewall atau titik akhir layanan VNet Anda. Selain itu, setelah nilai akses jaringan Privat ditetapkan, pelanggan tidak dapat menambah dan/atau memperbarui 'Aturan firewall' dan 'aturan titik akhir layanan VNet' yang ada.

Catatan

Fitur ini tersedia di semua wilayah Azure di mana Server tunggal Azure Database for PostgreSQL mendukung tingkat harga "Tujuan Umum" dan "Memori Dioptimalkan".

Pengaturan ini tidak berdampak pada konfigurasi SSL dan TLS untuk Server tunggal Azure Database for PostgreSQL Anda.

Untuk mempelajari cara mengatur Tolak Akses Jaringan Publik untuk Server tunggal Azure Database for PostgreSQL Anda dari portal Azure, lihat Cara mengonfigurasi Tolak Akses Jaringan Publik.

Konten terkait

Untuk mempelajari selengkapnya tentang fitur keamanan Server tunggal Azure Database for PostgreSQL, lihat artikel berikut ini: