Aggiungere connessioni endpoint privato

Il server flessibile di Database di Azure per PostgreSQL è un servizio collegamento privato di Azure. Ciò significa che è possibile creare endpoint privati in modo che le applicazioni client possano connettersi privatamente e in modo sicuro al server flessibile Database di Azure per PostgreSQL.

Un endpoint privato per Database di Azure per PostgreSQL - Server flessibile è un'interfaccia di rete che è possibile inserire in una subnet di una rete virtuale di Azure. Qualsiasi host o servizio in grado di instradare il traffico di rete a tale subnet, può comunicare con il server flessibile in modo che il traffico di rete non deve attraversare Internet. Tutto il traffico viene inviato privatamente usando il backbone Microsoft.

Per ulteriori informazioni su Azure Private Link ed Endpoint privato di Azure, vedere Domande frequenti sul collegamento privato di Azure.

Portale

Usando il portale di Azure:

1. Selezionare Database di Azure per PostgreSQL - Server flessibile.

2. Nel menu delle risorse selezionare Rete.

   

3. Se si dispone delle autorizzazioni necessarie per distribuire un endpoint privato, è possibile crearlo selezionando Crea endpoint privato.

   

Nota

Per informazioni sulle autorizzazioni necessarie per distribuire un endpoint privato, vedere Autorizzazioni di controllo degli accessi in base al ruolo di Azure per collegamento privato di Azure.

4. Nella pagina di base compilare tutti i dettagli necessari. Selezionare quindi Avanti: Risorsa.

   

5. Usare la tabella seguente per comprendere il significato dei diversi campi disponibili nella pagina Informazioni di base e come materiale sussidiario per riempire la pagina:

   Impostazione	Valore suggerito	Descrizione
   Abbonamento	Selezionare il nome della sottoscrizione in cui si vuole creare la risorsa. Seleziona automaticamente la sottoscrizione in cui viene distribuito il server.	Una sottoscrizione è un contratto con Microsoft per l'uso di una o più piattaforme o servizi cloud Microsoft, per i quali gli addebiti si accumulano in base a una tariffa di licenza per utente o al consumo di risorse basato sul cloud. Se si hanno più sottoscrizioni, scegliere quella in cui si desidera che venga fatturata la risorsa.
   Gruppo di risorse	Gruppo di risorse nella sottoscrizione selezionata, in cui si vuole creare l'endpoint privato. Può trattarsi di un gruppo di risorse esistente oppure è possibile selezionare Crea nuovo e specificare un nome in tale sottoscrizione univoco tra i nomi dei gruppi di risorse esistenti. Seleziona automaticamente il gruppo di risorse in cui viene distribuito il server.	Un gruppo di risorse è un contenitore con risorse correlate per una soluzione di Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione o solo le risorse che si desidera gestire come gruppo. L'utente può decidere la modalità di allocazione delle risorse ai gruppi di risorse in base alle esigenze dell'organizzazione. È in genere consigliabile aggiungere risorse che condividono lo stesso ciclo di vita allo stesso gruppo di risorse per poterle distribuire, aggiornare ed eliminare facilmente come gruppo.
   Nome	Nome da assegnare all'endpoint privato.	Nome univoco che identifica l'endpoint privato tramite il quale è possibile connettersi al server flessibile Database di Azure per PostgreSQL.
   Nome interfaccia di rete	Nome da assegnare all'interfaccia di rete associata all'endpoint privato.	Nome univoco che identifica l'interfaccia di rete associata all'endpoint privato.
   Regione	Nome di una delle aree in cui è possibile creare endpoint privati per il server flessibile di Database di Azure per PostgreSQL.	L'area selezionata deve corrispondere a quella della rete virtuale in cui si prevede di distribuire l'endpoint privato.

6. Nella pagina Risorsa compilare tutti i dettagli necessari. Selezionare quindi Avanti: Rete virtuale.

   

7. Usare la tabella seguente per comprendere il significato dei diversi campi disponibili nella pagina Risorsa e come materiale sussidiario per riempire la pagina:

   Impostazione	Valore suggerito	Descrizione
   Tipo di risorsa	Impostato automaticamente su Microsoft.DBforPostgreSQL/flexibleServers	Questo valore viene scelto automaticamente per te e corrisponde al tipo di risorsa che rappresenta un server flessibile di Azure Database per PostgreSQL, secondo Azure Private Link.
   Risorsa	Impostato automaticamente sul nome del server flessibile di Azure Database per PostgreSQL per cui si sta creando l'endpoint privato.	Nome della risorsa a cui si connette l'endpoint privato.
   Sottorisorsa di destinazione	Impostato automaticamente su postgresqlServer.	Tipo di sottorisorsa per la risorsa selezionata, a cui l'endpoint privato è in grado di accedere.

8. Nella pagina Rete virtuale compilare tutti i dettagli necessari. Selezionare quindi Avanti: DNS.

   

9. Usare la tabella seguente per comprendere il significato dei diversi campi disponibili nella pagina Rete virtuale e come materiale sussidiario per riempire la pagina:

   Impostazione	Valore suggerito	Descrizione
   Rete virtuale	Impostata automaticamente sulla prima rete virtuale (ordinata in ordine alfabetico) disponibile nella sottoscrizione e nella regione selezionata.	Sono elencate solo le reti virtuali in cui si dispone delle autorizzazioni, nella sottoscrizione e nell'area attualmente selezionate.
   Subnet	Impostato automaticamente sul nome del server flessibile di Azure Database per PostgreSQL per il quale stai creando l'endpoint privato.	Sono elencate solo le subnet nella rete virtuale attualmente selezionata.
   Criteri di rete per gli endpoint privati	Per impostazione predefinita, i criteri di rete sono disabilitati per una subnet in una rete virtuale. È possibile abilitare i criteri di rete solo per i gruppi di sicurezza di rete, solo per le route definite dall'utente o per entrambi.	Per usare criteri di rete come route definite dall'utente e supporto dei gruppi di sicurezza di rete, è necessario abilitare il supporto dei criteri di rete per la subnet. Questa impostazione si applica solo agli endpoint privati nella subnet e influisce su tutti gli endpoint privati nella subnet. Per altre risorse nella subnet, l'accesso viene controllato in base alle regole di sicurezza nel gruppo di sicurezza di rete. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
   Configurazione IP privato	Impostato automaticamente per allocare dinamicamente uno degli indirizzi IP disponibili nell'intervallo assegnato alla subnet selezionata.	Questo indirizzo IP è quello assegnato all'interfaccia di rete associata all'endpoint privato. Può essere allocata dinamicamente dall'intervallo assegnato alla subnet selezionata oppure è possibile decidere quale indirizzo specifico assegnare. Dopo aver creato l'endpoint privato, non è possibile modificarne l'indirizzo IP, indipendentemente dalla modalità di allocazione selezionata durante la creazione.
   Gruppo di sicurezza delle applicazioni	Nessun gruppo di sicurezza delle applicazioni viene assegnato per impostazione predefinita. È possibile sceglierne uno esistente oppure crearne uno e assegnarlo.	I gruppi di sicurezza delle applicazioni consentono di configurare la sicurezza di rete come un'estensione naturale della struttura di un'applicazione, raggruppando le macchine virtuali e definendo i criteri di sicurezza di rete in base a tali gruppi. È possibile riusare i criteri di sicurezza su larga scala senza gestire manualmente indirizzi IP espliciti. La piattaforma gestisce la complessità degli indirizzi IP espliciti e di più set di regole, consentendo all'utente di concentrarsi sulla logica di business. Per altre informazioni, vedere Gruppi di sicurezza delle applicazioni.

10. Nella pagina DNS compilare tutti i dettagli necessari. Quindi, selezionare Avanti: Tag.

    

11. Usare la tabella seguente per comprendere il significato dei diversi campi disponibili nella pagina DNS e come materiale sussidiario per compilare la pagina:

    Impostazione	Valore suggerito	Descrizione
    Integrare con la zona DNS privata	Abilitato per impostazione predefinita.	Selezionare Sì se si vuole integrare l'endpoint privato con una zona DNS privato di Azure oppure No se si desidera usare i propri server DNS oppure se si vuole risolvere il nome dell'endpoint usando i file host nei computer da cui si vuole connettersi tramite l'endpoint privato. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato. Se si configura l'integrazione della zona DNS privata, la zona DNS privata viene collegata automaticamente alla rete virtuale in cui si crea l'endpoint privato.
    Nome configurazione	Impostato automaticamente su privatelink-postgres-database-azure-com.	Nome assegnato alla configurazione DNS associata alla zona DNS privata.
    Abbonamento	Selezionare il nome della sottoscrizione in cui si vuole creare la zona DNS privata. Seleziona automaticamente la sottoscrizione in cui viene distribuito il server.	Una sottoscrizione è un contratto con Microsoft per l'uso di una o più piattaforme o servizi cloud Microsoft, per i quali gli addebiti si accumulano in base a una tariffa di licenza per utente o al consumo di risorse basato sul cloud. Se si hanno più sottoscrizioni, scegliere quella in cui si desidera che venga fatturata la risorsa.
    Gruppo di risorse	Gruppo di risorse nella sottoscrizione selezionata, in cui si vuole creare la zona DNS privata. Deve essere un gruppo di risorse esistente. Seleziona automaticamente il gruppo di risorse in cui viene distribuito il server.	Un gruppo di risorse è un contenitore con risorse correlate per una soluzione di Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione o solo le risorse che si desidera gestire come gruppo. L'utente può decidere la modalità di allocazione delle risorse ai gruppi di risorse in base alle esigenze dell'organizzazione. È in genere consigliabile aggiungere risorse che condividono lo stesso ciclo di vita allo stesso gruppo di risorse per poterle distribuire, aggiornare ed eliminare facilmente come gruppo.
    Zona DNS privato	Impostato automaticamente su privatelink.postgres.database.azure.com.	Questo nome è quello assegnato alla risorsa della zona DNS privata.

12. Nella pagina Tag compilare tutti i dettagli necessari. Quindi, selezionare Avanti: Rivedi e crea.

    

13. Usare la tabella seguente per comprendere il significato dei diversi campi disponibili nella pagina Tag e come materiale sussidiario per riempire la pagina:

    Impostazione	Valore suggerito	Descrizione
    Nome	Lasciare vuoto.	Nome del tag da assegnare all'endpoint privato e alla zona DNS privata (se è stata selezionata l'integrazione della zona DNS privata nella pagina DNS ).
    valore	Lasciare vuoto.	Valore che si vuole assegnare al tag con il nome specificato e che si vuole assegnare all'endpoint privato e alla zona DNS privata (se è stata selezionata l'integrazione della zona DNS privata nella pagina DNS ).
    Risorsa	Lasciare l'impostazione predefinita.	È possibile selezionare le risorse a cui si vuole assegnare il tag specificato. Può essere l'endpoint privato, la zona DNS privata (se è stata selezionata l'integrazione della zona DNS privata nella pagina DNS ) o entrambe.

14. Nella pagina Rivedi e crea verificare che tutto sia configurato come si desidera. Quindi, selezionare Crea.

    

15. Viene avviata una distribuzione e viene visualizzata una notifica al termine della distribuzione.

    

CLI

Se si dispone delle autorizzazioni necessarie per distribuire un endpoint privato e per approvare la connessione dell'endpoint privato al server, è possibile creare la connessione endpoint privato tramite il comando az network private-endpoint create .

Per creare l'endpoint privato e assegnarlo all'interfaccia di rete un indirizzo IP allocato dinamicamente dall'intervallo assegnato alla subnet selezionata:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Per creare l'endpoint privato e assegnarlo all'interfaccia di rete un indirizzo IP allocato in modo statico dall'intervallo assegnato alla subnet selezionata:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Se si dispone delle autorizzazioni necessarie, la connessione all'endpoint privato deve essere approvata automaticamente. In questo caso, l'output del comando seguente viene visualizzato status come Approvede description come Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create crea una zona DNS privataprivatelink.postgres.database.azure.com, se non esiste. E collega la zona DNS privata alla rete virtuale in cui viene creato l'endpoint privato. Tuttavia, non crea un gruppo di zone DNS nell'endpoint privato Se si vuole, è possibile integrare l'endpoint privato con una zona DNS privata. A tale scopo:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Se si tenta di creare l'endpoint privato con un indirizzo IP privato allocato in modo statico e l'indirizzo specificato è già usato da un'altra interfaccia di rete, viene visualizzato l'errore seguente:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Se si tenta di creare l'endpoint privato e la rete virtuale a cui si fa riferimento tramite i parametri --subscription, --resource-group e --vnet-name non esiste. In alternativa, se la rete virtuale esiste, ma l'area in cui viene distribuita non corrisponde all'area in cui si sta tentando di distribuire l'endpoint privato, viene visualizzato l'errore seguente:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Se si tenta di creare l'endpoint privato e uno esiste già con lo stesso nome, ma si specifica un valore diverso per --connection-name o per --vnet-name, viene visualizzato l'errore seguente:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Se si tenta di creare l'endpoint privato e uno esiste già con lo stesso nome, ma si specifica un valore diverso per --subnet, viene visualizzato l'errore seguente:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Se si tenta di creare l'endpoint privato e uno esiste già con lo stesso nome, ma si specifica un valore diverso per --location, viene visualizzato l'errore seguente:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Contenuto correlato

• Rete.
• Abilitare l'accesso pubblico.
• Disabilitare l'accesso pubblico.
• Aggiungere regole del firewall.
• Eliminare le regole del firewall.
• Elimina connessioni a endpoint privato.
• Approva la connessione a endpoint privato.
• Rifiuta connessione a endpoint privato.