Collegamento privato per il server singolo di Database di Azure per PostgreSQL
SI APPLICA A: Database di Azure per PostgreSQL - Server singolo
Importante
Database di Azure per PostgreSQL - Il server singolo è in fase di ritiro. È consigliabile eseguire l'aggiornamento a Database di Azure per PostgreSQL - Server flessibile. Per altre informazioni sulla migrazione a Database di Azure per PostgreSQL - Server flessibile, vedere Cosa succede a Database di Azure per PostgreSQL - Server singolo?.
Collegamento privato consente di creare endpoint privati per Database di Azure per PostgreSQL - Server singolo per portarlo all'interno della rete virtuale. L'endpoint privato espone un indirizzo IP privato all'interno di una subnet che è possibile usare per connettersi al server di database come qualsiasi altra risorsa nella rete virtuale.
Per un elenco dei servizi PaaS che supportano la funzionalità Collegamento privato, esaminare la Documentazione sul Collegamento privato. Un endpoint privato è un indirizzo IP privato all'interno di una rete virtuale e una subnet specifiche.
Nota
La funzionalità di collegamento privato è disponibile solo per i server di Database di Azure per PostgreSQL nei piani tariffari Utilizzo generico o Con ottimizzazione per la memoria. Verificare che il server del database sia incluso in uno di questi piani tariffari.
Prevenzione dell'esfiltrazione di dati
L'esfiltrazione di dati nel Database di Azure per PostgreSQL - Server singolo si verifica quando un utente autorizzato, come ad esempio un amministratore di database, è in grado di estrarre i dati da un sistema e spostarli in un'altra posizione o in un altro sistema all'esterno dell'organizzazione. Ad esempio, l'utente sposta i dati in un account di archiviazione di proprietà di terze parti.
Si consideri lo scenario di un utente che esegue PGAdmin all'interno di una macchina virtuale di Azure che si connette a un server singolo del Database di Azure per PostgreSQL di cui è stato effettuato il provisioning negli Stati Uniti occidentali. L'esempio seguente illustra come limitare l'accesso con gli endpoint pubblici nel Database di Azure per PostgreSQL - Server singolo tramite i controlli di accesso alla rete.
Disabilitare tutto il traffico dei servizi di Azure verso il Database di Azure per PostgreSQL - Server singolo tramite l'endpoint pubblico disattivando l'opzione Consenti ai servizi di Azure di accedere al server. Accertarsi che nessun indirizzo o intervallo IP sia autorizzato ad accedere al server tramite regole del firewall o endpoint del servizio di rete virtuale.
Consentire solo il traffico verso il Database di Azure per PostgreSQL - Server singolo usando l'indirizzo IP privato della macchina virtuale. Per altre informazioni, vedere gli articoli sull'endpoint servizio e le regole del firewall della rete virtuale.
Nella macchina virtuale di Azure limitare l'ambito della connessione in uscita usando i gruppi di sicurezza di rete (NSG) e i tag del servizio come indicato di seguito.
- Specificare una regola NSG per consentire il traffico per il tag di servizio = SQL.WestUS, che accetta solo le connessioni al Database di Azure per PostgreSQL - Server singolo negli Stati Uniti occidentali
- Specificare una regola NSG (con una priorità più alta) per negare il traffico per Tag di servizio = SQL, che rifiuta le connessioni al database PostgreSQL in tutte le aree
Al termine di tale configurazione, la macchina virtuale di Azure può connettersi soltanto a un server singolo di Database di Azure per PostgreSQL nell'area degli Stati Uniti occidentali. Tuttavia, la connettività non è limitata a un unico Database di Azure per Database PostgreSQL di Azure - Server singolo. Tuttavia, la macchina virtuale può connettersi a qualsiasi Database di Azure per PostgreSQL - Server singolo nell'area degli Stati Uniti occidentali, inclusi i database che non fanno parte della sottoscrizione. Sebbene l'ambito di esfiltrazione dei dati nello scenario precedente sia stato ridotto a un'area specifica, non è stato eliminato completamente.
Con Collegamento privato i clienti possono ora configurare controlli di accesso alla rete come gruppi di sicurezza di rete per limitare l'accesso all'endpoint privato. Viene quindi eseguito il mapping delle singole risorse PaaS di Azure a endpoint privati specifici. Un utente interno malintenzionato può accedere soltanto alla risorsa PaaS mappata, (come ad esempio un Database di Azure per PostgreSQL - Server singolo) e a nessun'altra risorsa.
Connettività locale tramite peering privato
Quando gli utenti si connettono all'endpoint pubblico da computer locali, il loro indirizzo IP deve essere aggiunto al firewall basato su IP mediante una regola del firewall a livello di server. Questo modello è adatto per consentire l'accesso ai singoli computer per i carichi di lavoro di sviluppo o test, ma è difficile da gestire in un ambiente di produzione.
Con Collegamento privato, gli utenti possono abilitare l'accesso cross-premise all'endpoint privato tramite ExpressRoute, il peering privato o il tunneling VPN. Successivamente possono disabilitare tutti gli accessi tramite endpoint pubblico e non usare il firewall basato su IP.
Nota
In alcuni casi, Database di Azure per PostgreSQL e la subnet della rete virtuale sono in sottoscrizioni diverse. In questi casi è necessario garantire le configurazioni seguenti:
- Assicurarsi che in entrambe le sottoscrizioni dispongano del provider di risorse registrato Microsoft.DBforPostgreSQL.
Configurare Collegamento privato per il server singolo di Database di Azure per PostgreSQL
Processo di creazione
Gli endpoint privati sono necessari per abilitare il collegamento privato. Questa operazione può essere eseguita seguendo le istruzioni seguenti.
Processo di approvazione
Dopo che l'amministratore di rete ha creato l'endpoint privato, l'amministratore di PostgreSQL può gestire la connessione dell'endpoint privato al Database di Azure per PostgreSQL. Questa separazione dei compiti tra l'amministratore di rete e l'amministratore di database è utile per la gestione della connettività del Database di Azure per PostgreSQL.
- Passare alla risorsa del server Database di Azure per PostgreSQL nel portale di Azure.
- (1) Selezionare Connessioni endpoint privato nel riquadro sinistro
- Viene visualizzato un elenco di tutte le connessioni di endpoint privato
- Endpoint privato corrispondente creato
- Selezionare una singola connessione di endpoint privato dall'elenco.
- L'amministratore del server PostgreSQL può scegliere di approvare o rifiutare una connessione di endpoint privato e, facoltativamente, di aggiungere una breve risposta di testo.
- Dopo l'approvazione o il rifiuto, l'elenco indicherà lo stato appropriato insieme al testo della risposta
Casi d'uso di Collegamento privato per il Database di Azure per PostgreSQL
I client possono connettersi all'endpoint privato dalla stessa rete virtuale, da una rete virtuale con peering nella stessa area o tramite una connessione da rete virtuale a rete virtuale tra aree diverse. Inoltre, i client possono connettersi dall'ambiente locale tramite ExpressRoute, peering privato o tunneling VPN. Di seguito è riportato un diagramma semplificato che mostra i casi d'uso comuni.
Connessione da una VM di Azure in una rete virtuale con peering
Configurare il peering della rete virtuale per stabilire la connettività al Database di Azure per PostgreSQL - Server singolo da una macchina virtuale di Azure in una rete virtuale con peering.
Connessione da una VM di Azure in un ambiente da rete virtuale a rete virtuale
Configurare la connessione gateway VPN da rete virtuale a rete virtuale per stabilire la connettività a un Database di Azure per PostgreSQL - Server singolo da una macchina virtuale di Azure in un'area o in una sottoscrizione diversa.
Connessione da un ambiente locale tramite VPN
Per stabilire la connettività da un ambiente locale al Database di Azure per PostgreSQL - Server singolo, scegliere e implementare una delle opzioni seguenti:
Collegamento privato combinato con le regole del firewall
Quando si usa il collegamento privato in combinazione con le regole del firewall, sono possibili le situazioni e i risultati seguenti:
Se non si configurano regole del firewall, non sarà possibile accedere al Database di Azure per PostgreSQL - Server singolo per impostazione predefinita.
Se si configura il traffico pubblico o un endpoint di servizio e si creano endpoint privati, i diversi tipi di traffico in ingresso sono autorizzati in base al tipo corrispondente di regola del firewall.
Se non si configura nessun traffico pubblico o endpoint di servizio e si creano endpoint privati, il Database di Azure per PostgreSQL - Server singolo sarà accessibile solo tramite gli endpoint privati. Se non si configura il traffico pubblico o un endpoint di servizio, dopo che tutti gli endpoint privati approvati vengono rifiutati o eliminati, non sarà possibile accedere al Database di Azure per PostgreSQL - Server singolo.
Negare l'accesso pubblico per il server singolo di Database di Azure per PostgreSQL
Se si vuole fare affidamento solo su endpoint privati per l'accesso al Database di Azure per PostgreSQL - Server singolo, è possibile disabilitare l'impostazione di tutti gli endpoint pubblici (regole del firewall ed endpoint servizio di rete virtuale) impostando la configurazione Nega accesso alla rete pubblica nel server del database.
Quando questa impostazione è impostata su SÌ, solo le connessioni tramite endpoint privati sono consentite al Database di Azure per PostgreSQL. Quando questa impostazione è impostata su NO, i client possono connettersi al Database di Azure per PostgreSQL in base alle impostazioni del firewall o dell'endpoint servizio della rete virtuale. Inoltre, dopo aver impostato il valore dell'accesso alla rete privata, i clienti non possono aggiungere e/o aggiornare le "regole del firewall" esistenti e le "Regole endpoint servizio rete virtuale".
Nota
Questa funzionalità è disponibile in tutte le aree di Azure in cui il server singolo di Database di Azure per PostgreSQL supporta i piani tariffari di server per utilizzo generico e ottimizzati per la memoria.
Questa impostazione non ha alcun impatto sulle configurazioni SSL e TLS per il server singolo di Database di Azure per PostgreSQL.
Per informazioni su come impostare Nega accesso alla rete pubblica per il Database di Azure per PostgreSQL - Server singolo dal portale di Azure, vedere Come configurare Nega accesso alla rete pubblica.
Contenuto correlato
Per altre informazioni sulle funzionalità di sicurezza del Database di Azure per PostgreSQL - Server singolo, vedere gli articoli seguenti:
Per configurare un firewall per il Database di Azure per PostgreSQL - Server singolo, vedere Supporto del firewall.
Per informazioni su come configurare un endpoint di servizio di rete virtuale per il Database di Azure per PostgreSQL - Server flessibile, vedere Configurare l'accesso dalle reti virtuali.
Per una panoramica della connettività del Database di Azure per PostgreSQL - Server singolo, vedere Architettura della connettività del Database di Azure per PostgreSQL
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per