Delen via


Azure Database for PostgreSQL: flexibele server netwerken met privékoppeling

Met Azure Private Link kunt u privé-eindpunten maken voor azure Database for PostgreSQL flexibele server om deze binnen uw virtuele netwerk (virtueel netwerk) te brengen. Deze functionaliteit wordt geïntroduceerd naast al bestaande netwerkmogelijkheden die worden geboden door VNET-integratie, die momenteel algemeen beschikbaar is met flexibele Azure Database for PostgreSQL-server. Met Private Link reist verkeer tussen uw virtuele netwerk en de service naar het Microsoft-backbonenetwerk. U hoeft uw service niet langer bloot te stellen aan het openbare internet. U kunt een eigen Private Link-service maken in uw virtuele netwerk en deze aanbieden bij klanten. Het instellen en gebruiken van Azure Private Link is consistent voor Azure PaaS-services, services die eigendom zijn van klanten en gedeelde partnerservices.

Notitie

Privékoppelingen zijn alleen beschikbaar voor servers met openbare toegangsnetwerken. Ze kunnen niet worden gemaakt voor servers met privétoegang (VNET-integratie).

Privékoppelingen kunnen alleen worden geconfigureerd voor servers die zijn gemaakt na de release van deze functie. Een server die bestond vóór de release van de functie kan niet worden ingesteld met privékoppelingen.

Private Link wordt beschikbaar gemaakt voor gebruikers via twee Azure-resourcetypen:

  • Privé-eindpunten (Microsoft.Network/PrivateEndpoints)
  • Private Link Services (Microsoft.Network/PrivateLinkServices)

Privé-eindpunten

Een privé-eindpunt voegt een netwerkinterface toe aan een resource, zodat deze een privé-IP-adres krijgt dat is toegewezen vanuit uw VNET (virtueel netwerk). Zodra dit is toegepast, kunt u uitsluitend communiceren met deze resource via het virtuele netwerk (VNET). Raadpleeg de Private Link-documentatie voor een lijst met PaaS-services die ondersteuning bieden voor Private Link-functionaliteit. Een privé-eindpunt is een privé-IP-adres binnen een specifiek VNet en subnet.

Naar hetzelfde openbare service-exemplaar kan worden verwezen door meerdere privé-eindpunten in verschillende VNets/subnetten, zelfs als ze overlappende adresruimten hebben.

Azure Private Link biedt de volgende voordelen:

  • Privétoegang tot services op het Azure-platform: Verbind uw virtuele netwerk met behulp van privé-eindpunten met alle services die kunnen worden gebruikt als toepassingsonderdelen in Azure. Serviceproviders kunnen hun services weergeven in hun eigen virtuele netwerk en consumenten hebben toegang tot deze services in hun lokale virtuele netwerk. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure.

  • On-premises en gekoppelde netwerken: toegang tot services die worden uitgevoerd in Azure vanaf on-premises via persoonlijke ExpressRoute-peering, VPN-tunnels en gekoppelde virtuele netwerken met behulp van privé-eindpunten. U hoeft geen ExpressRoute Microsoft-peering in te stellen of door het internet te gaan om de service te bereiken. Private Link biedt een veilige manier om workloads naar Azure te migreren.

  • Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt beveiliging tegen risico's van gegevenslekken.

  • Globaal bereik: Privé verbinding maken met services die in andere regio's worden uitgevoerd. Het virtuele netwerk van de consument kan zich in regio A bevinden en kan verbinding maken met services achter een Private Link in regio B.

Clients kunnen verbinding maken met het privé-eindpunt vanuit hetzelfde VNet, gekoppeld VNet in dezelfde regio of tussen regio's, of via een VNet-naar-VNet-verbinding tussen regio's. Daarnaast kunnen clients via on-premises verbinding maken met behulp van ExpressRoute, privé peering of VPN-tunneling. Hieronder ziet u een vereenvoudigd diagram waarin de algemene gebruikscases worden weergegeven.

Diagram waarin wordt getoond hoe Azure Private Link werkt met privé-eindpunten.

Beschikbaarheidsmatrix voor meerdere functies voor privé-eindpunten in Azure Database for PostgreSQL flexibele server.

Functie Beschikbaarheid Notes
Hoge beschikbaarheid (HA) Ja Werkt zoals ontworpen
Leesreplica Ja Werkt zoals ontworpen
Replica lezen met virtuele eindpunten Ja Werkt zoals ontworpen
Herstellen naar een bepaald tijdstip (PITR) Ja Werkt zoals ontworpen
Ook openbare/internettoegang met firewallregels toestaan Ja Werkt zoals ontworpen
Upgrade van primaire versie (MVU) Ja Werkt zoals ontworpen
Microsoft Entra-verificatie (Entra-verificatie) Ja Werkt zoals ontworpen
Groepsgewijze verbinding met PGBouncer Ja Werkt zoals ontworpen
PRIVÉ-eindpunt-DNS Ja Werkt zoals ontworpen en gedocumenteerd
Versleuteling met door de klant beheerde sleutels (CMK) Ja Werkt zoals ontworpen

Verbinding maken vanaf een Virtuele Azure-machine in peered Virtual Network

Configureer peering van virtuele netwerken om verbinding te maken met azure Database for PostgreSQL flexibele server vanaf een Virtuele Azure-machine in een gekoppeld virtueel netwerk.

Verbinding maken vanaf een Virtuele Azure-machine in een VNet-naar-VNet-omgeving

Configureer een VPN-gatewayverbinding tussen VNets om verbinding te maken met een flexibele Server-instantie van Azure Database for PostgreSQL vanuit een Azure-VM in een andere regio of een ander abonnement.

Verbinding maken vanuit een on-premises omgeving via VPN

Als u verbinding wilt maken vanuit een on-premises omgeving met het exemplaar van de flexibele Azure Database for PostgreSQL-server, kiest en implementeert u een van de volgende opties:

Wanneer u privé-eindpunten gebruikt, wordt verkeer beveiligd met een private link-resource. Het platform valideert netwerkverbindingen, waardoor alleen de verbindingen die de opgegeven private-link-resource bereiken, zijn toegestaan. Voor toegang tot meer subresources binnen dezelfde Azure-service zijn meer privé-eindpunten met bijbehorende doelen vereist. In het geval van Azure Storage hebt u bijvoorbeeld afzonderlijke privé-eindpunten nodig voor toegang tot het bestand en de blob-subresources.

Privé-eindpunten bieden een privé-toegankelijk IP-adres voor de Azure-service, maar beperken niet noodzakelijkerwijs de toegang tot het openbare netwerk. Voor alle andere Azure-services is echter een andere toegangsbeheer vereist. Deze besturingselementen bieden een extra netwerkbeveiligingslaag voor uw resources, waardoor beveiliging wordt geboden om toegang tot de Azure-service te voorkomen die is gekoppeld aan de private-link-resource.

Privé-eindpunten ondersteunen netwerkbeleid. Netwerkbeleid maakt ondersteuning mogelijk voor netwerkbeveiligingsgroepen (NSG), door de gebruiker gedefinieerde routes (UDR) en toepassingsbeveiligingsgroepen (ASG). Bekijk netwerkbeleid voor privé-eindpunten beheren voor meer informatie over het inschakelen van netwerkbeleid voor een privé-eindpunt. Als u een ASG wilt gebruiken met een privé-eindpunt, raadpleegt u Een toepassingsbeveiligingsgroep (ASG) configureren met een privé-eindpunt.

Wanneer u een privé-eindpunt gebruikt, moet u verbinding maken met dezelfde Azure-service, maar het IP-adres van het privé-eindpunt gebruiken. Voor de intieme eindpuntverbinding zijn afzonderlijke DNS-instellingen (Domain Name System) vereist om het privé-IP-adres om te kunnen omzetten in de resourcenaam. Privé-DNS zones geef domeinnaamomzetting op binnen een virtueel netwerk zonder een aangepaste DNS-oplossing. U koppelt de privé-DNS-zones aan elk virtueel netwerk om DNS-services aan dat netwerk te leveren.

Privé-DNS zones bieden afzonderlijke DNS-zonenamen voor elke Azure-service. Als u bijvoorbeeld een privé-DNS-zone hebt geconfigureerd voor de blobservice van het opslagaccount in de vorige installatiekopieën, wordt de naam van de DNS-zones privatelink.blob.core.windows.net. Bekijk de Microsoft-documentatie hier voor meer informatie over de privé-DNS-zonenamen voor alle Azure-services.

Notitie

Configuraties voor privé-eindpunten voor privé-DNS-zones worden alleen automatisch gegenereerd als u het aanbevolen naamgevingsschema gebruikt: privatelink.postgres.database.azure.com Op nieuw ingerichte openbare toegangsservers (niet in VNET geïnjecteerde) servers is er een tijdelijke wijziging in de DNS-indeling. De FQDN van de server is nu een CName, die wordt omgezet in een A-record, in indeling servername.privatelink.postgres.database.azure.com. In de nabije toekomst is deze indeling alleen van toepassing wanneer privé-eindpunten op de server worden gemaakt.

Hybride DNS voor Azure- en on-premises resources

Domain Name System (DNS) is een kritiek ontwerponderwerp in de algemene architectuur van de landingszone. Sommige organisaties willen mogelijk hun bestaande investeringen in DNS gebruiken, terwijl anderen mogelijk systeemeigen Azure-mogelijkheden willen gebruiken voor al hun DNS-behoeften. U kunt de Azure DNS Private Resolver-service gebruiken in combinatie met Azure Privé-DNS Zones voor cross-premises naamomzetting. Dns Private Resolver kan DNS-aanvraag doorsturen naar een andere DNS-server en biedt ook een IP-adres dat kan worden gebruikt door externe DNS-server om aanvragen door te sturen. Externe on-premises DNS-servers kunnen dus de naam omzetten die zich in een privé-DNS-zone bevindt.

Meer informatie over het gebruik van Privé-DNS Resolver met on-premises DNS-doorstuurserver om DNS-verkeer door te sturen naar Azure DNS, zie dit document, evenals dit document. Met oplossingen die worden beschreven, kunt u het on-premises netwerk uitbreiden dat al een DNS-oplossing heeft om resources in Azure op te lossen. Microsoft-architectuur.

Privé-DNS zones worden doorgaans centraal gehost in hetzelfde Azure-abonnement waarin het hub-VNet wordt geïmplementeerd. Deze centrale hostingpraktijk wordt aangestuurd door cross-premises DNS-naamomzetting en andere behoeften voor centrale DNS-omzetting, zoals Active Directory. In de meeste gevallen hebben alleen netwerk- en identiteitsbeheerders machtigingen voor het beheren van DNS-records in de zones.

In deze architectuur wordt het volgende geconfigureerd:

  • On-premises DNS-servers hebben voorwaardelijke doorstuurservers geconfigureerd voor elke openbare DNS-zone van het privé-eindpunt, die verwijst naar de Privé-DNS Resolver die wordt gehost in het hub-VNet.
  • De Privé-DNS Resolver die in het hub-VNet wordt gehost, gebruikt de door Azure geleverde DNS (168.63.129.16) als doorstuurserver.
  • Het hub-VNet moet worden gekoppeld aan de Privé-DNS zonenamen voor Azure-services (zoals privatelink.postgres.database.azure.com, voor Azure Database for PostgreSQL - Flexible Server).
  • Alle Azure-VNets gebruiken Privé-DNS Resolver die wordt gehost in het hub-VNet.
  • Aangezien de Privé-DNS Resolver niet gezaghebbend is voor de bedrijfsdomeinen van de klant, omdat het alleen een doorstuurserver (bijvoorbeeld Active Directory-domeinnamen) is, moet het uitgaande eindpunt doorstuurservers hebben naar de bedrijfsdomeinen van de klant, die verwijst naar de on-premises DNS-servers of DNS-servers die zijn geïmplementeerd in Azure die gezaghebbend zijn voor dergelijke zones.

Standaard zijn netwerkbeleidsregels uitgeschakeld voor een subnet in een virtueel netwerk. Als u netwerkbeleid wilt gebruiken, zoals door de gebruiker gedefinieerde routes en ondersteuning voor netwerkbeveiligingsgroepen, moet ondersteuning voor netwerkbeleid zijn ingeschakeld voor het subnet. Deze instelling is alleen van toepassing op privé-eindpunten binnen het subnet. Deze instelling is van invloed op alle privé-eindpunten binnen het subnet. Voor andere resources in het subnet wordt de toegang beheerd op basis van beveiligingsregels in de netwerkbeveiligingsgroep.

Netwerkbeleid kan alleen worden ingeschakeld voor netwerkbeveiligingsgroepen, alleen voor door de gebruiker gedefinieerde routes of voor beide. Zie Azure-documenten voor meer informatie

Beperkingen voor netwerkbeveiligingsgroepen (NSG) en privé-eindpunten worden hier vermeld

Belangrijk

Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt basisbescherming tegen risico's voor gegevenslekken.

De volgende situaties en resultaten zijn mogelijk wanneer u Private Link gebruikt in combinatie met firewallregels:

  • Als u geen firewallregels configureert, heeft het verkeer standaard geen toegang tot het flexibele serverexemplaren van Azure Database for PostgreSQL.

  • Als u openbaar verkeer of een service-eindpunt configureert en u privé-eindpunten maakt, worden verschillende typen binnenkomend verkeer geautoriseerd door het bijbehorende type firewallregel.

  • Als u geen openbaar verkeer of service-eindpunt configureert en u privé-eindpunten maakt, is het flexibele serverexemplaren van Azure Database for PostgreSQL alleen toegankelijk via de privé-eindpunten. Als u geen openbaar verkeer of een service-eindpunt configureert, heeft geen enkel verkeer toegang tot het flexibele serverexemplaren van Azure Database for PostgreSQL nadat alle goedgekeurde privé-eindpunten zijn geweigerd of verwijderd.

Connectiviteitsproblemen met netwerken op basis van privé-eindpunten oplossen

Hieronder vindt u basisgebieden om te controleren of u verbindingsproblemen ondervindt met netwerken op basis van een privé-eindpunt:

  1. IP-adrestoewijzingen controleren: controleer of het privé-eindpunt het juiste IP-adres heeft toegewezen en of er geen conflicten zijn met andere resources. Zie dit document voor meer informatie over privé-eindpunten en IP-adressen
  2. Controleer netwerkbeveiligingsgroepen (NSG's): controleer de NSG-regels voor het subnet van het privé-eindpunt om ervoor te zorgen dat het benodigde verkeer is toegestaan en geen conflicterende regels heeft. Zie dit document voor meer informatie over NSG
  3. Configuratie van routetabel valideren: zorg ervoor dat de routetabellen die zijn gekoppeld aan het subnet van het privé-eindpunt en de verbonden resources correct zijn geconfigureerd met de juiste routes.
  4. Netwerkbewaking en diagnostische gegevens gebruiken: Gebruik Azure Network Watcher om netwerkverkeer te bewaken en diagnosticeren met behulp van hulpprogramma's zoals Verbindingsmonitor of Packet Capture. Zie dit document voor meer informatie over netwerkdiagnose

Meer informatie over het oplossen van problemen privé is ook beschikbaar in deze handleiding

Problemen met DNS-omzetting met netwerken op basis van privé-eindpunt oplossen

Hieronder vindt u basisgebieden om te controleren of u problemen ondervindt met DNS-omzetting met behulp van netwerken op basis van een privé-eindpunt:

  1. DNS-omzetting valideren: controleer of de DNS-server of -service die wordt gebruikt door het privé-eindpunt en de verbonden resources correct functioneert. Zorg ervoor dat de DNS-instellingen van het privé-eindpunt juist zijn. Zie dit document voor meer informatie over privé-eindpunten en DNS-zone-instellingen
  2. DNS-cache wissen: wis de DNS-cache op het privé-eindpunt of de clientcomputer om ervoor te zorgen dat de meest recente DNS-gegevens worden opgehaald en inconsistente fouten voorkomen.
  3. DNS-logboeken analyseren: CONTROLEER DNS-logboeken op foutberichten of ongebruikelijke patronen, zoals DNS-queryfouten, serverfouten of time-outs. Zie dit document voor meer informatie over dns-metrische gegevens

Volgende stappen

  • Meer informatie over het maken van een exemplaar van een flexibele Azure Database for PostgreSQL-server met behulp van de optie Privétoegang (VNet-integratie) in Azure Portal of de Azure CLI.