Udostępnij za pośrednictwem

Azure Database for PostgreSQL — łączność sieciowa z serwerem elastycznym przy użyciu usługi Private Link

  • Artykuł

Usługa Azure Private Link umożliwia tworzenie prywatnych punktów końcowych dla usługi Azure Database for PostgreSQL — serwer elastyczny w celu przeniesienia go do sieci wirtualnej. Ta funkcja jest wprowadzana oprócz już istniejących funkcji sieciowych zapewnianych przez integrację sieci wirtualnej, która jest obecnie ogólnie dostępna w usłudze Azure Database for PostgreSQL — serwer elastyczny.

W przypadku usługi Private Link ruch między siecią wirtualną a usługą jest kierowany do sieci szkieletowej firmy Microsoft. Udostępnianie usługi w publicznej sieci Internet nie jest już konieczne. Możesz również utworzyć własną usługę łącza prywatnego w sieci wirtualnej i dostarczyć ją do klientów. Konfiguracja i zużycie przy użyciu usługi Private Link jest spójna w usługach PaaS platformy Azure, należących do klienta i udostępnionych usługach partnerskich.

Uwaga

Łącza prywatne są dostępne tylko dla serwerów, które mają sieć dostępu publicznego. Nie można ich utworzyć dla serwerów, które mają dostęp prywatny (integracja z siecią wirtualną).

Łącza prywatne można skonfigurować tylko dla serwerów utworzonych po wydaniu tej funkcji. Nie można ustawić żadnego serwera, który istniał przed wydaniem funkcji za pomocą linków prywatnych.

Usługa Private Link jest dostępna dla użytkowników za pośrednictwem dwóch typów zasobów platformy Azure:

  • Prywatne punkty końcowe (Microsoft.Network/PrivateEndpoints)
  • Usługi Private Link (Microsoft.Network/PrivateLinkServices)

Prywatne punkty końcowe

Prywatny punkt końcowy dodaje interfejs sieciowy do zasobu, zapewniając mu prywatny adres IP przypisany z sieci wirtualnej. Po zastosowaniu można komunikować się z tym zasobem wyłącznie za pośrednictwem sieci wirtualnej. Aby uzyskać listę usług PaaS, które obsługują funkcje usługi Private Link, zapoznaj się z dokumentacją usługi Private Link. Prywatny punkt końcowy to prywatny adres IP w określonej sieci wirtualnej i podsieci.

Do tego samego wystąpienia usługi publicznej może odwoływać się wiele prywatnych punktów końcowych w różnych sieciach wirtualnych lub podsieciach, nawet jeśli mają nakładające się przestrzenie adresowe.

Usługa Private Link zapewnia następujące korzyści:

  • Prywatnie uzyskują dostęp do usług na platformie Azure: połącz sieć wirtualną przy użyciu prywatnych punktów końcowych ze wszystkimi usługami, które mogą być używane jako składniki aplikacji na platformie Azure. Dostawcy usług mogą renderować swoje usługi we własnej sieci wirtualnej. Konsumenci mogą uzyskiwać dostęp do tych usług w lokalnej sieci wirtualnej. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure.
  • Sieci lokalne i równorzędne: dostęp do usług działających na platformie Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi Azure ExpressRoute, tuneli wirtualnej sieci prywatnej (VPN) i równorzędnych sieci wirtualnych przy użyciu prywatnych punktów końcowych. Nie ma potrzeby konfigurowania komunikacji równorzędnej firmy Microsoft usługi ExpressRoute ani przechodzenia przez Internet w celu uzyskania dostępu do usługi. Usługa Private Link zapewnia bezpieczny sposób migrowania obciążeń na platformę Azure.
  • Ochrona przed wyciekiem danych: prywatny punkt końcowy jest mapowany na wystąpienie zasobu PaaS zamiast całej usługi. Konsumenci mogą łączyć się tylko z określonym zasobem. Dostęp do dowolnego innego zasobu w usłudze jest blokowany. Ten mechanizm zapewnia ochronę przed zagrożeniami wyciekami danych.
  • Globalny zasięg: połącz prywatnie z usługami działającymi w innych regionach: sieć wirtualna konsumenta może znajdować się w regionie A. Może łączyć się z usługami za usługą Private Link w regionie B.

Przypadki użycia usługi Private Link z usługą Azure Database for PostgreSQL — serwer elastyczny

Klienci mogą łączyć się z prywatnym punktem końcowym z:

  • Ta sama sieć wirtualna.
  • Równorzędna sieć wirtualna w tym samym regionie lub w różnych regionach.
  • Połączenie między siecią w różnych regionach.

Klienci mogą również łączyć się ze środowiska lokalnego przy użyciu usługi ExpressRoute, prywatnej komunikacji równorzędnej lub tunelowania sieci VPN. Poniższy uproszczony diagram przedstawia typowe przypadki użycia.

Diagram przedstawiający sposób działania usługi Private Link z prywatnymi punktami końcowymi.

Ograniczenia i obsługiwane funkcje usługi Private Link z usługą Azure Database for PostgreSQL — serwer elastyczny

Oto macierz dostępności między funkcjami dla prywatnych punktów końcowych w usłudze Azure Database for PostgreSQL — serwer elastyczny.

Funkcja Dostępność Uwagi
Wysoka dostępność Tak Działa zgodnie z projektem.
Replika do odczytu Tak Działa zgodnie z projektem.
Replika do odczytu z wirtualnymi punktami końcowymi Tak Działa zgodnie z projektem.
Przywracanie do punktu w czasie Tak Działa zgodnie z projektem.
Zezwalanie na dostęp publiczny/internetowy z regułami zapory Tak Działa zgodnie z projektem.
Uaktualnienie wersji głównej Tak Działa zgodnie z projektem.
Uwierzytelnianie Microsoft Entra Tak Działa zgodnie z projektem.
Buforowanie połączeń za pomocą narzędzia PGBouncer Tak Działa zgodnie z projektem.
Prywatny punkt końcowy DNS Tak Działa zgodnie z założeniami i dokumentami.
Szyfrowanie przy użyciu kluczy zarządzanych przez klienta Tak Działa zgodnie z projektem.

Nawiązywanie połączenia z maszyny wirtualnej platformy Azure w równorzędnej sieci wirtualnej

Skonfiguruj komunikację równorzędną sieci wirtualnych, aby nawiązać łączność z usługą Azure Database for PostgreSQL — serwer elastyczny z maszyny wirtualnej platformy Azure w równorzędnej sieci wirtualnej.

Nawiązywanie połączenia z maszyny wirtualnej platformy Azure w środowisku sieci-sieć

Skonfiguruj połączenie bramy sieci VPN typu sieć-sieć, aby nawiązać łączność z serwerem elastycznym usługi Azure Database for PostgreSQL z maszyny wirtualnej platformy Azure w innym regionie lub subskrypcji.

Nawiązywanie połączenia ze środowiska lokalnego za pośrednictwem sieci VPN

Aby ustanowić łączność ze środowiska lokalnego do serwera elastycznego usługi Azure Database for PostgreSQL, wybierz i zaimplementuj jedną z opcji:

W przypadku korzystania z prywatnych punktów końcowych ruch jest zabezpieczony do zasobu łącza prywatnego. Platforma weryfikuje połączenia sieciowe, zezwalając tylko na te połączenia, które docierają do określonego zasobu łącza prywatnego. Aby uzyskać dostęp do większej liczby podźródł w ramach tej samej usługi platformy Azure, wymagane są więcej prywatnych punktów końcowych z odpowiednimi miejscami docelowymi. Na przykład w przypadku usługi Azure Storage potrzebne byłyby oddzielne prywatne punkty końcowe, aby uzyskać dostęp do plików i podźródł obiektów blob.

Prywatne punkty końcowe zapewniają prywatnie dostępny adres IP dla usługi platformy Azure, ale niekoniecznie ograniczają do niej dostęp do sieci publicznej. Wszystkie inne usługi platformy Azure wymagają jednak innej kontroli dostępu. Te mechanizmy kontroli zapewniają dodatkową warstwę zabezpieczeń sieci dla zasobów, zapewniając ochronę, która pomaga zapobiegać dostępowi do usługi platformy Azure skojarzonej z zasobem łącza prywatnego.

Prywatne punkty końcowe obsługują zasady sieciowe. Zasady sieciowe umożliwiają obsługę sieciowych grup zabezpieczeń, tras zdefiniowanych przez użytkownika i grup zabezpieczeń aplikacji (ASG). Aby uzyskać więcej informacji na temat włączania zasad sieci dla prywatnego punktu końcowego, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych. Aby użyć usługi ASG z prywatnym punktem końcowym, zobacz Konfigurowanie grupy zabezpieczeń aplikacji z prywatnym punktem końcowym.

W przypadku korzystania z prywatnego punktu końcowego należy nawiązać połączenie z tą samą usługą platformy Azure, ale używać prywatnego adresu IP punktu końcowego. Połączenie intymnego punktu końcowego wymaga oddzielnych ustawień systemu nazw domen (DNS), aby rozpoznać prywatny adres IP jako nazwę zasobu.

Prywatna strefa DNS strefy zapewniają rozpoznawanie nazw domen w sieci wirtualnej bez niestandardowego rozwiązania DNS. Prywatne strefy DNS można połączyć z każdą siecią wirtualną, aby zapewnić usługi DNS tej sieci.

Prywatna strefa DNS strefy zapewniają oddzielne nazwy stref DNS dla każdej usługi platformy Azure. Jeśli na przykład skonfigurowano strefę Prywatna strefa DNS dla usługi obiektów blob konta magazynu na poprzedniej ilustracji, nazwa strefy DNS to privatelink.blob.core.windows.net. Zapoznaj się z dokumentacją firmy Microsoft, aby wyświetlić więcej nazw prywatnych stref DNS dla wszystkich usług platformy Azure.

Uwaga

Konfiguracje strefy prywatnego punktu końcowego Prywatna strefa DNS są generowane automatycznie tylko wtedy, gdy używasz zalecanego schematu nazewnictwa: privatelink.postgres.database.azure.com. Na nowo aprowizowanych serwerach dostępu publicznego (iniekcji nienależących do sieci wirtualnej) nastąpi zmiana układu DNS. Nazwa FQDN serwera staje się teraz rekordem CName w postaci servername.postgres.database.azure.com , która będzie wskazywać rekord A w jednym z następujących formatów:

  1. Jeśli serwer ma prywatny punkt końcowy z domyślną prywatną strefą DNS połączoną, rekord A będzie miał następujący format: server_name.privatelink.postgres.database.azure.com.
  2. Jeśli serwer nie ma prywatnych punktów końcowych, rekord A będzie miał ten format server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.

Hybrydowa usługa DNS dla platformy Azure i zasobów lokalnych

SYSTEM DNS jest krytycznym tematem projektowania w ogólnej architekturze strefy docelowej. Niektóre organizacje mogą chcieć korzystać z istniejących inwestycji w system DNS. Inni mogą chcieć przyjąć natywne możliwości platformy Azure dla wszystkich swoich potrzeb DNS.

Do rozpoznawania nazw między środowiskami lokalnymi można używać prywatnego rozpoznawania nazw usługi Azure DNS wraz ze strefami Prywatna strefa DNS platformy Azure. Prywatny program rozpoznawania nazw DNS może przekazać żądanie DNS do innego serwera DNS, a także udostępnia adres IP, który może być używany przez zewnętrzny serwer DNS do przekazywania żądań. Dlatego zewnętrzne lokalne serwery DNS mogą rozpoznawać nazwy znajdujące się w strefie Prywatna strefa DNS.

Aby uzyskać więcej informacji na temat używania prywatnego rozpoznawania nazw DNS z lokalnym usługą przesyłania dalej DNS w celu przekazywania ruchu DNS do usługi Azure DNS, zobacz:

Opisane rozwiązania rozszerzają sieć lokalną, która ma już rozwiązanie DNS, aby rozwiązać problemy z zasobami w Azure.Microsoft architekturze.

Prywatna strefa DNS strefy są zwykle hostowane centralnie w tej samej subskrypcji platformy Azure, w której wdrażana jest sieć wirtualna koncentratora. Ta centralna praktyka hostingu jest oparta na rozpoznawaniu nazw DNS między lokalnymi i innych potrzebach centralnego rozpoznawania nazw DNS, takich jak Microsoft Entra. W większości przypadków tylko administratorzy sieci i tożsamości mają uprawnienia do zarządzania rekordami DNS w strefach.

W takiej architekturze konfigurowane są następujące składniki:

  • Lokalne serwery DNS mają warunkowe usługi przesyłania dalej skonfigurowane dla każdej publicznej strefy DNS prywatnego punktu końcowego wskazującego Prywatna strefa DNS Resolver hostowanego w sieci wirtualnej koncentratora.
  • Narzędzie rozpoznawania Prywatna strefa DNS hostowane w sieci wirtualnej koncentratora używa udostępnionego przez platformę Azure serwera DNS (168.63.129.16) jako usługi przesyłania dalej.
  • Sieć wirtualna piasty musi być połączona z nazwami stref Prywatna strefa DNS dla usług platformy Azure (takich jak privatelink.postgres.database.azure.com, dla usługi Azure Database for PostgreSQL — serwer elastyczny).
  • Wszystkie sieci wirtualne platformy Azure używają narzędzia Prywatna strefa DNS Resolver hostowanego w sieci wirtualnej koncentratora.
  • Prywatna strefa DNS Resolver nie jest autorytatywny dla domen firmowych klienta, ponieważ jest to tylko usługa przesyłania dalej (na przykład nazwy domen firmy Microsoft Entra), powinna mieć wychodzące usługi przesyłania dalej punktów końcowych do domen firmowych klienta, wskazując na lokalne serwery DNS lub serwery DNS wdrożone na platformie Azure, które są autorytatywne dla takich stref.

Domyślnie zasady sieci są wyłączone dla podsieci w sieci wirtualnej. Aby korzystać z zasad sieciowych, takich jak trasy zdefiniowane przez użytkownika i sieciowe grupy zabezpieczeń, należy włączyć obsługę zasad sieciowych dla podsieci. To ustawienie ma zastosowanie tylko do prywatnych punktów końcowych w podsieci. To ustawienie ma wpływ na wszystkie prywatne punkty końcowe w podsieci. W przypadku innych zasobów w podsieci dostęp jest kontrolowany na podstawie reguł zabezpieczeń w sieciowej grupie zabezpieczeń.

Można włączyć zasady sieciowe tylko dla sieciowych grup zabezpieczeń, tylko dla tras zdefiniowanych przez użytkownika lub dla obu tych grup. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych.

Ograniczenia dotyczące sieciowych grup zabezpieczeń i prywatnych punktów końcowych są wymienione w artykule Co to jest prywatny punkt końcowy?.

Ważne

Ochrona przed wyciekiem danych: prywatny punkt końcowy jest mapowany na wystąpienie zasobu PaaS zamiast całej usługi. Konsumenci mogą łączyć się tylko z określonym zasobem. Dostęp do dowolnego innego zasobu w usłudze jest blokowany. Ten mechanizm zapewnia podstawową ochronę przed zagrożeniami wyciekami danych.

Następujące sytuacje i wyniki są możliwe w przypadku używania usługi Private Link w połączeniu z regułami zapory:

  • Jeśli domyślnie nie skonfigurujesz żadnych reguł zapory, ruch nie będzie mógł uzyskać dostępu do serwera elastycznego usługi Azure Database for PostgreSQL.

  • W przypadku skonfigurowania ruchu publicznego lub punktu końcowego usługi i utworzenia prywatnych punktów końcowych różne typy ruchu przychodzącego są autoryzowane przez odpowiedni typ reguły zapory.

  • Jeśli nie skonfigurujesz żadnego publicznego ruchu lub punktu końcowego usługi i utworzysz prywatne punkty końcowe, elastyczny serwer usługi Azure Database for PostgreSQL będzie dostępny tylko za pośrednictwem prywatnych punktów końcowych. Jeśli nie skonfigurujesz ruchu publicznego ani punktu końcowego usługi, po odrzuceniu lub usunięciu wszystkich zatwierdzonych prywatnych punktów końcowych żaden ruch nie może uzyskać dostępu do serwera elastycznego usługi Azure Database for PostgreSQL.

Rozwiązywanie problemów z łącznością z siecią opartą na prywatnym punkcie końcowym

Jeśli masz problemy z łącznością podczas korzystania z prywatnej sieci opartej na punkcie końcowym, sprawdź następujące obszary:

  • Sprawdź przypisania adresów IP: sprawdź, czy prywatny punkt końcowy ma przypisany prawidłowy adres IP i czy nie ma konfliktów z innymi zasobami. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i adresów IP, zobacz Zarządzanie prywatnymi punktami końcowymi platformy Azure.
  • Sprawdź sieciowe grupy zabezpieczeń: Przejrzyj reguły sieciowej grupy zabezpieczeń dla podsieci prywatnego punktu końcowego, aby upewnić się, że wymagany ruch jest dozwolony i nie ma reguł powodujących konflikt. Aby uzyskać więcej informacji na temat sieciowych grup zabezpieczeń, zobacz Sieciowe grupy zabezpieczeń.
  • Zweryfikuj konfigurację tabeli tras: upewnij się, że tabele tras skojarzone z podsiecią prywatnego punktu końcowego i połączone zasoby są prawidłowo skonfigurowane przy użyciu odpowiednich tras.
  • Monitorowanie sieci i diagnostyka: użyj usługi Azure Network Watcher do monitorowania i diagnozowania ruchu sieciowego przy użyciu narzędzi takich jak Monitor połączenia lub przechwytywanie pakietów. Aby uzyskać więcej informacji na temat diagnostyki sieci, zobacz Co to jest usługa Azure Network Watcher?.

Więcej informacji na temat rozwiązywania problemów z prywatnymi punktami końcowymi znajduje się również w artykule Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.

Rozwiązywanie problemów z rozpoznawaniem nazw DNS przy użyciu sieci opartej na prywatnym punkcie końcowym

Jeśli występują problemy z rozpoznawaniem nazw DNS podczas korzystania z sieci opartej na prywatnym punkcie końcowym, sprawdź następujące obszary:

  • Zweryfikuj rozpoznawanie nazw DNS: sprawdź, czy serwer DNS lub usługa używana przez prywatny punkt końcowy i połączone zasoby działają prawidłowo. Upewnij się, że ustawienia DNS prywatnego punktu końcowego są dokładne. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i ustawień strefy DNS, zobacz Wartości strefy prywatnego punktu końcowego platformy Azure Prywatna strefa DNS.
  • Wyczyść pamięć podręczną DNS: wyczyść pamięć podręczną DNS na prywatnym punkcie końcowym lub komputerze klienckim, aby upewnić się, że pobrano najnowsze informacje DNS i uniknąć niespójnych błędów.
  • Analizowanie dzienników DNS: Przejrzyj dzienniki DNS pod kątem komunikatów o błędach lub nietypowych wzorców, takich jak błędy zapytań DNS, błędy serwera lub przekroczenia limitu czasu. Aby uzyskać więcej informacji na temat metryk DNS, zobacz Metryki i alerty usługi Azure DNS.

Powiązana zawartość

Dowiedz się, jak utworzyć serwer elastyczny usługi Azure Database for PostgreSQL przy użyciu opcji Dostęp prywatny (integracja z siecią wirtualną) w witrynie Azure Portal lub w interfejsie wiersza polecenia platformy Azure.