Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Private Link consente di creare endpoint privati per il server flessibile del Database di Azure per PostgreSQL, per integrarlo nella tua rete virtuale. Questa funzionalità è un'alternativa consigliata alle funzionalità di rete fornite dall'integrazione della rete virtuale.
Con collegamento privato, il traffico tra la rete virtuale e il servizio attraversa la rete backbone Microsoft. L'esposizione del servizio sulla rete Internet pubblica non è più necessaria. È possibile creare un servizio di collegamento privato personale nella rete virtuale e distribuirlo ai clienti. La configurazione e l'uso tramite collegamento privato sono coerenti tra i servizi PaaS di Azure, quelli di proprietà del cliente e i servizi partner condivisi.
Il collegamento privato viene reso disponibile agli utenti attraverso due tipi di risorse Azure:
- Endpoint privati (Microsoft.Network/PrivateEndpoints)
- Servizi di collegamento privato (Microsoft.Network/PrivateLinkServices)
Endpoint privati
Un endpoint privato aggiunge un'interfaccia di rete a una risorsa, assegnandole un indirizzo IP privato assegnato dalla rete virtuale. Dopo l'applicazione, è possibile comunicare con questa risorsa esclusivamente tramite la rete virtuale. Per un elenco dei servizi PaaS che supportano la funzionalità collegamento privato, vedere la documentazione di Collegamento privato. Un endpoint privato è un indirizzo IP privato all'interno di una rete virtuale specifica e di una subnet.
Più endpoint privati in reti virtuali o subnet diverse, anche con spazi di indirizzamento sovrapposti, possono fare riferimento alla stessa istanza del servizio pubblico.
Vantaggi principali del collegamento privato
Collegamento privato offre i vantaggi seguenti:
- Accesso privato ai servizi nella piattaforma Azure: connettere la rete virtuale usando endpoint privati a tutti i servizi che possono essere usati come componenti applicazione in Azure. I provider di servizi possono offrire i propri servizi nella loro rete virtuale. I consumer possono accedere a tali servizi nella rete virtuale locale. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi sulla rete backbone di Azure.
- Reti locali e con peering: accedere ai servizi in esecuzione in Azure dall'ambiente locale tramite peering privato Azure ExpressRoute, tunnel della rete privata virtuale (VPN) e reti virtuali con peering usando endpoint privati. Non è necessario configurare il peering Microsoft ExpressRoute né attraversare Internet per raggiungere il servizio. Collegamento privato offre un modo sicuro per eseguire la migrazione dei carichi di lavoro in Azure.
- Protezione dalla perdita di dati: Protezione dalla perdita di dati: viene eseguito il mapping di un endpoint privato a un'istanza di una risorsa PaaS anziché all'intero servizio. I consumer possono connettersi solo alla risorsa specifica. L'accesso a qualsiasi altra risorsa del servizio è bloccato. Questo meccanismo offre protezione dai rischi di perdita dei dati.
- Copertura globale: connettersi privatamente ai servizi in esecuzione in altre aree: la rete virtuale del consumer potrebbe trovarsi nell'area A. Può connettersi ai servizi dietro il collegamento privato nell'area B.
Casi d'uso per il collegamento privato con il server flessibile di Database di Azure per PostgreSQL
I client possono connettersi all'endpoint privato da:
- La stessa rete virtuale.
- Una rete virtuale peering nella stessa area o tra aree diverse.
- Una connessione da rete a rete tra aree.
I client possono anche connettersi da locale usando ExpressRoute, peering privato o tunneling VPN. Il diagramma semplificato seguente illustra i casi d'uso più comuni.
Funzionalità supportate per il collegamento privato
Ecco una matrice di disponibilità tra funzionalità per endpoint privati nel server flessibile di Database di Azure per PostgreSQL.
| Funzionalità | Disponibilità | Note |
|---|---|---|
| Disponibilità elevata | Sì | Funziona come previsto. |
| Replica in lettura | Sì | Funziona come previsto. |
| Replica in lettura con endpoint virtuali | Sì | Funziona come previsto. |
| Ripristino temporizzato | Sì | Funziona come previsto. |
| Consentire anche l'accesso pubblico/Internet con regole del firewall | Sì | Funziona come previsto. |
| Aggiornamento della versione principale | Sì | Funziona come previsto. |
| Autenticazione di Microsoft Entra | Sì | Funziona come previsto. |
| Pool di connessioni con PGBouncer | Sì | Funziona come previsto. |
| DNS dell'endpoint privato | Sì | Funziona come progettato e documentato. |
| Crittografia con chiavi gestite dal cliente | Sì | Funziona come previsto. |
Gli endpoint privati possono essere configurati solo per i server creati dopo che il server flessibile di Database di Azure per PostgreSQL ha introdotto il supporto per il collegamento privato e la cui modalità di rete è stata configurata per non usare l'integrazione della rete virtuale ma l'accesso pubblico.
I server creati prima di tale data e la cui modalità di rete è stata configurata per non usare l'integrazione della rete virtuale, ma l'accesso pubblico, non supportano ancora la creazione di endpoint privati. L'uso di endpoint privati non è attualmente supportato nei server creati con l'integrazione della rete virtuale.
Connettersi da una macchina virtuale Azure in una rete virtuale con peering
Configurare il peering di rete virtuale per stabilire la connettività al server flessibile di Database di Azure per PostgreSQL da una macchina virtuale di Azure (VM) in una rete virtuale con peering.
Connettersi da una macchina virtuale di Azure in un ambiente da rete a rete
Configurare una connessione gateway VPN da rete a rete per stabilire la connettività a un server flessibile di Database di Azure per PostgreSQL da una macchina virtuale di Azure in un'area o una sottoscrizione diversa.
Connettersi da un ambiente locale tramite VPN
Per stabilire la connettività da un ambiente locale al server flessibile di Database di Azure per PostgreSQL, scegliere e implementare una delle opzioni:
Sicurezza di rete e collegamento privato
Quando si usano endpoint privati, il traffico viene protetto a una risorsa di collegamento privato. La piattaforma convalida le connessioni di rete, consentendo solo quelle che raggiungono la risorsa di collegamento privato specificata. Per accedere a più sottorisorse all'interno dello stesso servizio di Azure, sono necessari più endpoint privati con destinazioni corrispondenti. Ad esempio, per Archiviazione di Azure sarà necessario separare gli endpoint privati per accedere alle sottorisorse di file e BLOB.
Gli endpoint privati forniscono un indirizzo IP accessibile privatamente per il servizio di Azure, ma non limitano necessariamente l'accesso alla rete pubblica. Tutti gli altri servizi di Azure richiedono tuttavia un altro controllo di accesso. Questi controlli forniscono un ulteriore livello di sicurezza di rete per le risorse, offrendo una protezione che contribuisce a impedire l'accesso al servizio di Azure associato alla risorsa di collegamento privato.
Gli endpoint privati supportano i criteri di rete. I criteri di rete consentono il supporto per i gruppi di sicurezza di rete (NSG), le route definite dall'utente (UDR) e gruppi di sicurezza delle applicazioni (ASG). Per altre informazioni sull'abilitazione dei criteri di rete per un endpoint privato, vedere Gestire i criteri di rete per endpoint privati. Per usare un ASG con un endpoint privato, vedere Configurare un gruppo di sicurezza delle applicazioni con un endpoint privato.
Collegamento privato e DNS
Quando si usa un endpoint privato, è necessario connettersi allo stesso servizio di Azure, ma usando l'indirizzo IP dell'endpoint privato. La connessione endpoint intima richiede impostazioni DNS (Domain Name System) separate per risolvere l'indirizzo IP privato nel nome della risorsa.
Le zone DNS privato forniscono la risoluzione dei nomi di dominio all'interno di una rete virtuale senza una soluzione DNS personalizzata. È possibile collegare le zone DNS privato a ogni rete virtuale per fornire servizi DNS a tale rete.
Le zone DNS privato forniscono nomi di zona DNS separati per ogni servizio di Azure. Ad esempio, se è stata configurata una zona DNS privato per il servizio BLOB dell'account di archiviazione nell'immagine precedente, il nome della zona DNS è privatelink.blob.core.windows.net. Per altre informazioni sui nomi delle zone DNS private per tutti i servizi di Azure, vedere la documentazione Microsoft.
Nota
Le configurazioni della zona DNS privato per l'endpoint privato vengono generate automaticamente solo se si usa lo schema di denominazione consigliato: privatelink.postgres.database.azure.com.
Nei server di accesso pubblico appena sottoposto a provisioning (non integrato nella rete virtuale) è stata apportata una modifica al layout DNS. L'FQDN del server diventa ora un record CNAME nel formato servername.postgres.database.azure.com che punta a un record A in uno dei formati seguenti:
- Se il server dispone di un endpoint privato con una zona DNS privata predefinita collegata, il record A usa questo formato:
server_name.privatelink.postgres.database.azure.com. - Se il server non dispone di endpoint privati, il record A usa questo formato
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
DNS ibrido per le risorse di Azure e locali
DNS è un articolo di progettazione fondamentale nell'architettura generale della zona di destinazione. Alcune organizzazioni potrebbero voler sfruttare i propri investimenti esistenti in DNS. Altri utenti potrebbero voler adottare funzionalità native di Azure per tutte le esigenze DNS.
È possibile usare Resolver privato DNS di Azure insieme alle zone DNS privato di Azure per la risoluzione dei nomi cross-premise. Resolver privato DNS può inoltrare una richiesta DNS a un altro server DNS e fornisce anche un indirizzo IP che può essere usato da un server DNS esterno per inoltrare le richieste. I server DNS locali esterni sono quindi in grado di risolvere i nomi presenti in una zona di DNS privato.
Per altre informazioni sull'uso di Resolver privato DNS con un inoltro DNS locale per inoltrare il traffico DNS a DNS di Azure, vedere:
- Integrazione DNS dell'endpoint privato di Azure
- Creare un'infrastruttura DNS dell'endpoint privato con il Resolver privato di Azure per un carico di lavoro locale
Le soluzioni descritte estendono una rete locale che dispone già di una soluzione DNS per risolvere le risorse nell'architettura Azure.Microsoft.
Integrazione di collegamento privato e DNS nelle architetture di rete hub-and-spoke
Le zone DNS privato sono in genere ospitate centralmente nella stessa sottoscrizione di Azure in cui viene distribuita la rete virtuale dell'hub. Questa pratica di hosting centralizzato è guidata dalla risoluzione dei nomi DNS cross-premise e da altre esigenze di risoluzione DNS centralizzata, come Microsoft Entra. Nella maggior parte dei casi, solo gli amministratori di rete e di identità dispongono delle autorizzazioni per gestire i record DNS nelle zone.
In tale architettura sono configurati i componenti seguenti:
- I server DNS locali dispongono di server d'inoltro condizionali configurati per ogni zona DNS pubblica dell'endpoint privato, che puntano al risolutore Domain Name Server privato ospitato nella rete virtuale dell'hub.
- Il risolutore Domain Name Server privato ospitato nella rete virtuale dell'hub utilizza il DNS fornito da Azure (168.63.129.16) come inoltro.
- La rete virtuale hub deve essere collegata ai nomi delle zone DNS private per i servizi di Azure, ad esempio
privatelink.postgres.database.azure.comper il server flessibile di Database di Azure per PostgreSQL. - Tutte le reti virtuali di Azure usano il risolutore Domain Name Server privato ospitato nella rete virtuale hub.
- Il risolutore DNS privato non è autorevole per i domini aziendali di un cliente perché è solo un inoltratore (ad esempio, per i nomi di dominio Microsoft Entra). Dovrebbe avere inoltratori agli endpoint in uscita verso i domini aziendali del cliente, puntando ai server DNS locali o ai server DNS distribuiti in Azure che sono autorevoli per tali zone.
Collegamento privato e gruppi di sicurezza di rete
Per impostazione predefinita, i criteri di rete sono disabilitati per una subnet in una rete virtuale. Per usare il supporto dei criteri di rete come route definite dall'utente e gruppi di sicurezza di rete, è necessario abilitare il supporto dei criteri di rete per la subnet. Questa impostazione è applicabile solo agli endpoint privati all'interno della subnet. Questa impostazione interessa tutti gli endpoint privati all'interno della subnet. Per le altre risorse nella subnet, l'accesso è controllato in base alle regole di sicurezza nel gruppo di sicurezza di rete.
È possibile abilitare i criteri di rete solo per i gruppi di sicurezza di rete, solo per gli route definite dall'utente o per entrambi. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Le limitazioni dei gruppi di sicurezza di rete e agli endpoint privati sono elencate in Che cos'è un endpoint privato?.
Importante
Protezione dalla perdita di dati: viene eseguito il mapping di un endpoint privato a un'istanza di una risorsa PaaS anziché all'intero servizio. I consumer possono connettersi solo alla risorsa specifica. L'accesso a qualsiasi altra risorsa del servizio è bloccato. Questo meccanismo fornisce una protezione di base contro i rischi di perdita dei dati.
Collegamento privato combinato con le regole del firewall
Quando si usa il collegamento privato in combinazione con le regole del firewall, sono possibili le situazioni e i risultati seguenti:
Se non si configura alcuna regola del firewall, per impostazione predefinita il traffico non può accedere al server flessibile del Database di Azure per PostgreSQL.
Se si configura il traffico pubblico o un endpoint di servizio e si creano endpoint privati, i diversi tipi di traffico in ingresso vengono autorizzati dal tipo corrispondente di regola del firewall.
Se non si configura alcun endpoint di servizio o di traffico pubblico e si creano endpoint privati, il server flessibile di Database di Azure per PostgreSQL sarà accessibile solo tramite endpoint privati. Se non si configura il traffico pubblico o un endpoint di servizio, dopo il rifiuto o l'eliminazione di tutti gli endpoint privati approvati, nessun traffico potrà accedere al server flessibile del Database di Azure per PostgreSQL.
Risoluzione dei Problemi
Quando si usano endpoint di collegamento privato con il server flessibile di Database di Azure per PostgreSQL, potrebbero verificarsi problemi di connettività a causa di configurazioni errate o vincoli di rete. Per risolvere questi problemi, verificare la configurazione di endpoint privati, configurazioni DNS, gruppi di sicurezza di rete (NSG) e tabelle di route. La risoluzione sistematica di queste aree consente di identificare e risolvere i problemi comuni, garantendo connettività senza problemi e accesso sicuro al database.
Problemi di connettività con la rete privata basata su endpoint
In caso di problemi di connettività quando si usa la rete basata su endpoint privati, verificare le aree seguenti:
- Verificare le assegnazioni degli indirizzi IP: verificare che all'endpoint privato sia assegnato l'indirizzo IP corretto e che non siano presenti conflitti con altre risorse. Per altre informazioni su endpoint privati e IP, vedere Gestire gli endpoint privati di Azure.
- Controllare i gruppi di sicurezza di rete: rivedere le regole del gruppo di sicurezza di rete per la subnet dell'endpoint privato per assicurarsi che il traffico necessario sia consentito e non presenti regole in conflitto. Per altre informazioni sui gruppi di sicurezza di rete, vedere Gruppi di sicurezza di rete.
- Convalidare la configurazione della tabella di route: assicurarsi che le tabelle di route associate alla subnet dell'endpoint privato e alle risorse connesse siano configurate correttamente con le route appropriate.
- Usare il monitoraggio e la diagnostica di rete: usare Azure Network Watcher per monitorare e diagnosticare il traffico di rete con strumenti come Monitoraggio connessione o Acquisizione pacchetti. Per altre informazioni sulla diagnostica di rete, vedere Che cos'è Azure Network Watcher?.
Altre informazioni sulla risoluzione dei problemi degli endpoint privati sono disponibili anche in Risolvere i problemi di connettività degli endpoint privati di Azure.
Risoluzione DNS con rete basata su endpoint privati
Se si verificano problemi di risoluzione DNS quando si usa la rete basata su endpoint privati, verificare le aree seguenti:
- Convalidare la risoluzione DNS: verificare se il server DNS o il servizio usato dall'endpoint privato e le risorse connesse funzionano correttamente. Assicurarsi che le impostazioni DNS dell'endpoint privato siano accurate. Per altre informazioni sugli endpoint privati e sulle impostazioni della zona DNS, vedere Valori della zona DNS privato dell'endpoint privato di Azure.
- Cancellare la cache DNS: cancellare la cache DNS nell'endpoint privato o nel computer client per assicurarsi che vengano recuperate le informazioni DNS più recenti e per evitare errori incoerenti.
- Analizzare i log DNS: esaminare i log DNS per individuare messaggi di errore o modelli insoliti, ad esempio errori di query DNS, errori del server o timeout. Per altre informazioni sulle metriche DNS, vedere Metriche e avvisi DNS di Azure.