Azure Database for PostgreSQL: flexibele server netwerken met privékoppeling
Met Azure Private Link kunt u privé-eindpunten maken voor Azure Database for PostgreSQL - Flexible Server om deze binnen uw virtuele netwerk te brengen. Deze functionaliteit wordt geïntroduceerd naast al bestaande netwerkmogelijkheden die worden geboden door integratie van virtuele netwerken, die momenteel algemeen beschikbaar is met Azure Database for PostgreSQL - Flexible Server.
Met privékoppeling reist het verkeer tussen uw virtuele netwerk en de service over het backbonenetwerk van Microsoft. U hoeft uw service niet langer bloot te stellen aan het openbare internet. U kunt een eigen Private Link-service maken in uw virtuele netwerk en deze aanbieden bij klanten. Het instellen en verbruik met behulp van Private Link is consistent in Azure PaaS, services van klanten en gedeelde partners.
Notitie
Privékoppelingen zijn alleen beschikbaar voor servers met openbare toegangsnetwerken. Ze kunnen niet worden gemaakt voor servers met privétoegang (integratie van virtueel netwerk).
Privékoppelingen kunnen alleen worden geconfigureerd voor servers die zijn gemaakt na de release van deze functie. Een server die bestond vóór de release van de functie, kan niet worden ingesteld met privékoppelingen.
Private Link wordt beschikbaar gemaakt voor gebruikers via twee Azure-resourcetypen:
- Privé-eindpunten (Microsoft.Network/PrivateEndpoints)
- Private Link-services (Microsoft.Network/PrivateLinkServices)
Privé-eindpunten
Een privé-eindpunt voegt een netwerkinterface toe aan een resource, zodat het een privé-IP-adres krijgt dat is toegewezen vanuit uw virtuele netwerk. Nadat deze is toegepast, kunt u uitsluitend met deze resource communiceren via het virtuele netwerk. Raadpleeg de Private Link-documentatie voor een lijst met PaaS-services die ondersteuning bieden voor Private Link-functionaliteit. Een privé-eindpunt is een privé-IP-adres binnen een specifiek virtueel netwerk en een subnet.
Naar hetzelfde exemplaar van de openbare service kan worden verwezen door meerdere privé-eindpunten in verschillende virtuele netwerken of subnetten, zelfs als ze overlappende adresruimten hebben.
Belangrijkste voordelen van Private Link
Private Link biedt de volgende voordelen:
- Privétoegang tot services op het Azure-platform: Verbind uw virtuele netwerk met behulp van privé-eindpunten met alle services die kunnen worden gebruikt als toepassingsonderdelen in Azure. Serviceproviders kunnen hun services in hun eigen virtuele netwerk renderen. Consumenten hebben toegang tot deze services in hun lokale virtuele netwerk. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure.
- On-premises en gekoppelde netwerken: toegang tot services die worden uitgevoerd in Azure vanaf on-premises via privépeering van Azure ExpressRoute, VPN-tunnels (virtueel particulier netwerk) en gekoppelde virtuele netwerken met behulp van privé-eindpunten. U hoeft geen ExpressRoute Microsoft-peering in te stellen of door het internet te gaan om de service te bereiken. Private Link biedt een veilige manier om workloads naar Azure te migreren.
- Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt beveiliging tegen risico's van gegevenslekken.
- Globaal bereik: Privé verbinding maken met services die worden uitgevoerd in andere regio's: het virtuele netwerk van de consument kan zich in regio A bevinden. Het kan verbinding maken met services achter Private Link in regio B.
Gebruiksvoorbeelden voor Private Link met Azure Database for PostgreSQL - Flexible Server
Clients kunnen verbinding maken met het privé-eindpunt vanuit:
- Hetzelfde virtuele netwerk.
- Een gekoppeld virtueel netwerk in dezelfde regio of tussen regio's.
- Een netwerk-naar-netwerkverbinding tussen regio's.
Clients kunnen ook vanuit on-premises verbinding maken met behulp van ExpressRoute, persoonlijke peering of VPN-tunneling. In het volgende vereenvoudigde diagram ziet u de algemene gebruiksvoorbeelden.
Beperkingen en ondersteunde functies voor Private Link met Azure Database for PostgreSQL - Flexible Server
Hier volgt een beschikbaarheidsmatrix voor meerdere functies voor privé-eindpunten in Azure Database for PostgreSQL - Flexible Server.
| Functie | Beschikbaarheid | Opmerkingen |
|---|---|---|
| Hoge beschikbaarheid | Ja | Werkt zoals ontworpen. |
| Leesreplica | Ja | Werkt zoals ontworpen. |
| Replica lezen met virtuele eindpunten | Ja | Werkt zoals ontworpen. |
| Herstel naar een bepaald tijdstip | Ja | Werkt zoals ontworpen. |
| Ook openbare/internettoegang met firewallregels toestaan | Ja | Werkt zoals ontworpen. |
| Belangrijke versie-upgrades | Ja | Werkt zoals ontworpen. |
| Microsoft Entra-verificatie | Ja | Werkt zoals ontworpen. |
| Groepsgewijze verbinding met PGBouncer | Ja | Werkt zoals ontworpen. |
| PRIVÉ-eindpunt-DNS | Ja | Werkt zoals ontworpen en gedocumenteerd. |
| Versleuteling met door de klant beheerde sleutels | Ja | Werkt zoals ontworpen. |
Verbinding maken vanaf een Virtuele Azure-machine in een gekoppeld virtueel netwerk
Configureer peering van virtuele netwerken om connectiviteit met Azure Database for PostgreSQL - Flexible Server tot stand te brengen vanaf een virtuele Azure-machine (VM) in een gekoppeld virtueel netwerk.
Verbinding maken vanaf een Azure-VM in een netwerk-naar-netwerkomgeving
Configureer een netwerk-naar-netwerk-VPN-gatewayverbinding om verbinding te maken met een flexibele Azure Database for PostgreSQL-server vanaf een Azure-VM in een andere regio of een ander abonnement.
Verbinding maken vanuit een on-premises omgeving via VPN
Als u verbinding wilt maken vanuit een on-premises omgeving met de flexibele Azure Database for PostgreSQL-server, kiest en implementeert u een van de volgende opties:
Netwerkbeveiliging en Private Link
Wanneer u privé-eindpunten gebruikt, wordt verkeer beveiligd met een private link-resource. Het platform valideert netwerkverbindingen, waardoor alleen de verbindingen die de opgegeven private-link-resource bereiken, zijn toegestaan. Voor toegang tot meer subresources binnen dezelfde Azure-service zijn meer privé-eindpunten met bijbehorende doelen vereist. In het geval van Azure Storage hebt u bijvoorbeeld afzonderlijke privé-eindpunten nodig voor toegang tot het bestand en de blob-subresources.
Privé-eindpunten bieden een privé-toegankelijk IP-adres voor de Azure-service, maar beperken niet noodzakelijkerwijs de toegang tot het openbare netwerk. Voor alle andere Azure-services is echter een ander toegangsbeheer vereist. Deze besturingselementen bieden een extra netwerkbeveiligingslaag voor uw resources, waardoor beveiliging wordt geboden om toegang tot de Azure-service te voorkomen die is gekoppeld aan de private-link-resource.
Privé-eindpunten ondersteunen netwerkbeleid. Netwerkbeleid maakt ondersteuning mogelijk voor netwerkbeveiligingsgroepen (NSG's), door de gebruiker gedefinieerde routes (UDR's) en toepassingsbeveiligingsgroepen (ASG's). Bekijk netwerkbeleid voor privé-eindpunten beheren voor meer informatie over het inschakelen van netwerkbeleid voor een privé-eindpunt. Zie Een toepassingsbeveiligingsgroep configureren met een privé-eindpunt als u een ASG met een privé-eindpunt wilt gebruiken.
Private Link en DNS
Wanneer u een privé-eindpunt gebruikt, moet u verbinding maken met dezelfde Azure-service, maar het IP-adres van het privé-eindpunt gebruiken. Voor de intieme eindpuntverbinding zijn afzonderlijke DNS-instellingen (Domain Name System) vereist om het privé-IP-adres om te kunnen omzetten in de resourcenaam.
Privé-DNS zones bieden domeinnaamomzetting binnen een virtueel netwerk zonder een aangepaste DNS-oplossing. U koppelt de privé-DNS-zones aan elk virtueel netwerk om DNS-services aan dat netwerk te leveren.
Privé-DNS zones bieden afzonderlijke DNS-zonenamen voor elke Azure-service. Als u bijvoorbeeld een Privé-DNS zone hebt geconfigureerd voor de blobservice van het opslagaccount in de vorige installatiekopieën, is privatelink.blob.core.windows.netde naam van de DNS-zone. Raadpleeg de Microsoft-documentatie voor meer van de privé-DNS-zonenamen voor alle Azure-services.
Notitie
Privé-eindpunt Privé-DNS zoneconfiguraties worden automatisch alleen gegenereerd als u het aanbevolen naamgevingsschema gebruikt: privatelink.postgres.database.azure.com.
Op nieuw ingerichte openbare toegangsservers (niet-virtueel netwerk geïnjecteerd) is er een wijziging in de DNS-indeling. De FQDN van de server wordt nu een CName-record in het formulier servername.postgres.database.azure.com dat verwijst naar een A-record in een van de volgende indelingen:
- Als de server een privé-eindpunt heeft met een standaard privé-DNS-zone gekoppeld, heeft de A-record de volgende indeling:
server_name.privatelink.postgres.database.azure.com - Als de server geen privé-eindpunten heeft, heeft de A-record deze indeling
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
Hybride DNS voor Azure- en on-premises resources
DNS is een kritiek ontwerponderwerp in de algemene architectuur van de landingszone. Sommige organisaties willen mogelijk hun bestaande investeringen in DNS gebruiken. Anderen willen mogelijk systeemeigen Azure-mogelijkheden gebruiken voor al hun DNS-behoeften.
U kunt azure DNS Private Resolver samen met Azure Privé-DNS zones gebruiken voor cross-premises naamomzetting. Dns Private Resolver kan een DNS-aanvraag doorsturen naar een andere DNS-server en biedt ook een IP-adres dat door een externe DNS-server kan worden gebruikt om aanvragen door te sturen. Externe on-premises DNS-servers kunnen dus namen omzetten die zich in een Privé-DNS zone bevinden.
Zie voor meer informatie over het gebruik van dns-privéomzetting met een on-premises DNS-doorstuurserver voor het doorsturen van DNS-verkeer naar Azure DNS:
- DNS-integratie van privé-eindpunt in Azure
- Een PRIVÉ-eindpunt-DNS-infrastructuur maken met Azure Private Resolver voor een on-premises workload
De beschreven oplossingen breiden een on-premises netwerk uit dat al een DNS-oplossing heeft om resources in Azure.Microsoft de architectuur op te lossen.
Private Link- en DNS-integratie in hub-and-spoke-netwerkarchitecturen
Privé-DNS zones worden doorgaans centraal gehost in hetzelfde Azure-abonnement waar het virtuele hubnetwerk wordt geïmplementeerd. Deze centrale hostingpraktijk wordt aangestuurd door cross-premises DNS-naamomzetting en andere behoeften voor centrale DNS-omzetting, zoals Microsoft Entra. In de meeste gevallen hebben alleen netwerk- en identiteitsbeheerders machtigingen voor het beheren van DNS-records in de zones.
In deze architectuur zijn de volgende onderdelen geconfigureerd:
- On-premises DNS-servers hebben voorwaardelijke doorstuurservers geconfigureerd voor elke openbare DNS-zone van het privé-eindpunt, die verwijst naar de Privé-DNS Resolver die wordt gehost in het virtuele hubnetwerk.
- De Privé-DNS Resolver die wordt gehost in het virtuele hubnetwerk, maakt gebruik van de door Azure geleverde DNS (168.63.129.16) als doorstuurserver.
- Het virtuele hubnetwerk moet worden gekoppeld aan de Privé-DNS zonenamen voor Azure-services (zoals
privatelink.postgres.database.azure.comvoor Azure Database for PostgreSQL - Flexible Server). - Alle virtuele Azure-netwerken maken gebruik van Privé-DNS Resolver die wordt gehost in het virtuele hubnetwerk.
- De Privé-DNS Resolver is niet gezaghebbend voor de bedrijfsdomeinen van een klant, omdat het alleen een doorstuurserver (bijvoorbeeld Microsoft Entra-domeinnamen) is, moet het uitgaande eindpunt doorstuurservers hebben naar de bedrijfsdomeinen van de klant, die verwijst naar de on-premises DNS-servers of DNS-servers die zijn geïmplementeerd in Azure die gezaghebbend zijn voor dergelijke zones.
Private Link en netwerkbeveiligingsgroepen
Standaard zijn netwerkbeleidsregels uitgeschakeld voor een subnet in een virtueel netwerk. Als u netwerkbeleid zoals UDR's en NSG-ondersteuning wilt gebruiken, moet u ondersteuning voor netwerkbeleid inschakelen voor het subnet. Deze instelling is alleen van toepassing op privé-eindpunten binnen het subnet. Deze instelling is van invloed op alle privé-eindpunten binnen het subnet. Voor andere resources in het subnet wordt de toegang beheerd op basis van beveiligingsregels in de NSG.
U kunt netwerkbeleid alleen inschakelen voor NSG's, alleen voor UDR's of voor beide. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.
Beperkingen voor NSG's en privé-eindpunten worden vermeld in Wat is een privé-eindpunt?
Belangrijk
Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt basisbescherming tegen risico's voor gegevenslekken.
Private Link in combinatie met firewallregels
De volgende situaties en resultaten zijn mogelijk wanneer u Private Link gebruikt in combinatie met firewallregels:
Als u geen firewallregels configureert, heeft verkeer standaard geen toegang tot de flexibele Server van Azure Database for PostgreSQL.
Als u openbaar verkeer of een service-eindpunt configureert en u privé-eindpunten maakt, worden verschillende typen binnenkomend verkeer geautoriseerd door het bijbehorende type firewallregel.
Als u geen openbaar verkeer of service-eindpunt configureert en u privé-eindpunten maakt, is de flexibele Server van Azure Database for PostgreSQL alleen toegankelijk via privé-eindpunten. Als u geen openbaar verkeer of een service-eindpunt configureert, hebben alle goedgekeurde privé-eindpunten geen toegang tot de flexibele Azure Database for PostgreSQL-server nadat alle goedgekeurde privé-eindpunten zijn geweigerd of verwijderd.
Verbindingsproblemen met netwerken op basis van privé-eindpunten oplossen
Als u verbindingsproblemen ondervindt wanneer u op privé-eindpunten gebaseerde netwerken gebruikt, controleert u de volgende gebieden:
- IP-adrestoewijzingen controleren: controleer of het privé-eindpunt het juiste IP-adres heeft toegewezen en of er geen conflicten zijn met andere resources. Zie Privé-eindpunten van Azure beheren voor meer informatie over privé-eindpunten en IP-adressen.
- Controleer NSG's: controleer de NSG-regels voor het subnet van het privé-eindpunt om ervoor te zorgen dat het benodigde verkeer is toegestaan en geen conflicterende regels heeft. Zie Netwerkbeveiligingsgroepen voor meer informatie over NSG's.
- Configuratie van routetabel valideren: zorg ervoor dat de routetabellen die zijn gekoppeld aan het subnet van het privé-eindpunt en de verbonden resources correct zijn geconfigureerd met de juiste routes.
- Netwerkbewaking en diagnostische gegevens gebruiken: Gebruik Azure Network Watcher om netwerkverkeer te bewaken en diagnosticeren met behulp van hulpprogramma's zoals Verbindingsmonitor of Packet Capture. Zie Wat is Azure Network Watcher? voor meer informatie over netwerkdiagnose.
Meer informatie over het oplossen van problemen met privé-eindpunten is ook beschikbaar in Verbindingsproblemen met privé-eindpunten in Azure oplossen.
Problemen met DNS-omzetting oplossen met netwerken op basis van een privé-eindpunt
Als u problemen ondervindt met DNS-omzetting wanneer u op privé-eindpunten gebaseerde netwerken gebruikt, controleert u de volgende gebieden:
- DNS-omzetting valideren: controleer of de DNS-server of -service die wordt gebruikt door het privé-eindpunt en de verbonden resources correct werken. Zorg ervoor dat de DNS-instellingen van het privé-eindpunt juist zijn. Zie azure-privé-eindpunten Privé-DNS zonewaarden voor meer informatie over privé-eindpunten en DNS-zone-instellingen.
- Wis de DNS-cache: wis de DNS-cache op het privé-eindpunt of de clientcomputer om ervoor te zorgen dat de meest recente DNS-gegevens worden opgehaald en om inconsistente fouten te voorkomen.
- DNS-logboeken analyseren: CONTROLEER DNS-logboeken op foutberichten of ongebruikelijke patronen, zoals DNS-queryfouten, serverfouten of time-outs. Zie azure DNS-metrische gegevens en waarschuwingen voor meer informatie over metrische DNS-gegevens.
Gerelateerde inhoud
Meer informatie over het maken van een flexibele Azure Database for PostgreSQL-server met behulp van de optie Privétoegang (VNet-integratie) in Azure Portal of de Azure CLI.