Azure Database for PostgreSQL — sieć serwera elastycznego z usługą Private Link
Usługa Azure Private Link umożliwia tworzenie prywatnych punktów końcowych dla elastycznego serwera usługi Azure Database for PostgreSQL w celu przeniesienia go do sieci wirtualnej (sieci wirtualnej). Ta funkcja jest wprowadzana oprócz już istniejących możliwości sieciowych zapewnianych przez integrację sieci wirtualnej, która jest obecnie ogólnie dostępna w usłudze Azure Database for PostgreSQL — serwer elastyczny. Dzięki usłudze Private Link ruch między siecią wirtualną a usługą podróżuje siecią szkieletową firmy Microsoft. Udostępnianie usługi w publicznej sieci Internet nie jest już konieczne. Możesz również utworzyć własną usługę łącza prywatnego w sieci wirtualnej i dostarczyć ją do klientów. Konfiguracja i zużycie przy użyciu usługi Azure Private Link jest spójna w należących do klienta usługach PaaS platformy Azure i udostępnionych usługach partnerskich.
Usługa Private Link jest dostępna dla użytkowników za pośrednictwem dwóch typów zasobów platformy Azure:
- Prywatne punkty końcowe (Microsoft.Network/PrivateEndpoints)
- Usługi Private Link (Microsoft.Network/PrivateLinkServices)
Prywatne punkty końcowe
Prywatny punkt końcowy dodaje interfejs sieciowy do zasobu, zapewniając mu prywatny adres IP przypisany z sieci wirtualnej (sieć wirtualna). Po zastosowaniu można komunikować się z tym zasobem wyłącznie za pośrednictwem sieci wirtualnej. Aby uzyskać listę usług PaaS, które obsługują funkcje usługi Private Link, zapoznaj się z dokumentacją usługi Private Link. Prywatny punkt końcowy to prywatny adres IP w określonej sieci wirtualnej i podsieci.
Do tego samego wystąpienia usługi publicznej może odwoływać się wiele prywatnych punktów końcowych w różnych sieciach wirtualnych/podsieciach, nawet jeśli mają nakładające się przestrzenie adresowe.
Najważniejsze korzyści wynikające z usługi Azure Private Link
Usługa Azure Private Link zapewnia następujące korzyści:
Prywatnie uzyskują dostęp do usług na platformie Azure: Połączenie sieci wirtualnej przy użyciu prywatnych punktów końcowych do wszystkich usług, które mogą być używane jako składniki aplikacji na platformie Azure. Dostawcy usług mogą świadczyć usługi we własnej sieci wirtualnej, a konsumenci mogą uzyskiwać dostęp do tych usług w lokalnej sieci wirtualnej. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure.
Sieci lokalne i równorzędne: dostęp do usług działających na platformie Azure ze środowiska lokalnego za pośrednictwem prywatnej komunikacji równorzędnej usługi ExpressRoute, tuneli VPN i równorzędnych sieci wirtualnych przy użyciu prywatnych punktów końcowych. Nie ma potrzeby konfigurowania komunikacji równorzędnej firmy Microsoft usługi ExpressRoute ani przechodzenia przez Internet w celu uzyskania dostępu do usługi. Usługa Private Link zapewnia bezpieczny sposób migrowania obciążeń na platformę Azure.
Ochrona przed wyciekiem danych: prywatny punkt końcowy jest mapowany na wystąpienie zasobu PaaS zamiast całej usługi. Konsumenci mogą łączyć się tylko z określonym zasobem. Dostęp do dowolnego innego zasobu w usłudze jest blokowany. Ten mechanizm zapewnia ochronę przed zagrożeniami wyciekami danych.
Globalny zasięg: Połączenie prywatnie do usług działających w innych regionach. Sieć wirtualna konsumenta może znajdować się w regionie A i może łączyć się z usługami za usługą Private Link w regionie B.
Przypadki użycia usługi Private Link z serwerem elastycznym usługi Azure Database for PostgreSQL
Klienci mogą łączyć się z prywatnym punktem końcowym z tej samej sieci wirtualnej, równorzędnej sieci wirtualnej w tym samym regionie lub między regionami lub za pośrednictwem połączenia między sieciami wirtualnymi w różnych regionach. Ponadto klienci mogą łączyć się ze środowiska lokalnego przy użyciu usługi ExpressRoute, prywatnej komunikacji równorzędnej lub tunelowania sieci VPN. Poniżej znajduje się uproszczony diagram przedstawiający typowe przypadki użycia.
Ograniczenia i obsługiwane funkcje usługi Private Link z serwerem elastycznym usługi Azure Database for PostgreSQL
Macierz dostępności między funkcjami dla prywatnego punktu końcowego na serwerze elastycznym usługi Azure Database for PostgreSQL.
| Funkcja | Dostępność | Uwagi |
|---|---|---|
| Wysoka dostępność (HA) | Tak | Działa zgodnie z projektem |
| Replika do odczytu | Tak | Działa zgodnie z projektem |
| Replika do odczytu z wirtualnymi punktami końcowymi | Tak | Działa zgodnie z projektem |
| Przywracanie do punktu w czasie | Tak | Działa zgodnie z projektem |
| Zezwalanie na dostęp publiczny/internetowy z regułami zapory | Tak | Działa zgodnie z projektem |
| Uaktualnienie wersji głównej (MVU) | Tak | Działa zgodnie z projektem |
| Microsoft Entra Authentication (Entra Auth) | Tak | Działa zgodnie z projektem |
| buforowanie Połączenie ion za pomocą narzędzia PGBouncer | Tak | Działa zgodnie z projektem |
| Dns prywatnego punktu końcowego | Tak | Działa zgodnie z założeniami i dokumentami |
| Szyfrowanie przy użyciu kluczy zarządzanych przez klienta (CMK) | Tak | Działa zgodnie z projektem |
Połączenie z maszyny wirtualnej platformy Azure w równorzędnej sieci wirtualnej
Skonfiguruj komunikację równorzędną sieci wirtualnych, aby nawiązać łączność z serwerem elastycznym usługi Azure Database for PostgreSQL z maszyny wirtualnej platformy Azure w równorzędnej sieci wirtualnej.
Połączenie z maszyny wirtualnej platformy Azure w środowisku między sieciami wirtualnymi
Skonfiguruj połączenie bramy sieci VPN między sieciami wirtualnymi w celu ustanowienia łączności z elastycznym wystąpieniem serwera usługi Azure Database for PostgreSQL z maszyny wirtualnej platformy Azure w innym regionie lub subskrypcji.
Połączenie ze środowiska lokalnego za pośrednictwem sieci VPN
Aby ustanowić łączność ze środowiska lokalnego do wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL, wybierz i zaimplementuj jedną z opcji:
- Połączenie ion typu punkt-lokacja
- Połączenie sieci VPN typu lokacja-lokacja
- Obwód usługi ExpressRoute
Zabezpieczenia sieci i usługa Private Link
W przypadku korzystania z prywatnych punktów końcowych ruch jest zabezpieczony do zasobu łącza prywatnego. Platforma weryfikuje połączenia sieciowe, zezwalając tylko na te połączenia, które docierają do określonego zasobu łącza prywatnego. Aby uzyskać dostęp do większej liczby podźródł w ramach tej samej usługi platformy Azure, wymagane są więcej prywatnych punktów końcowych z odpowiednimi miejscami docelowymi. Na przykład w przypadku usługi Azure Storage potrzebne byłyby oddzielne prywatne punkty końcowe, aby uzyskać dostęp do plików i podźródł obiektów blob.
Prywatne punkty końcowe zapewniają prywatnie dostępny adres IP dla usługi platformy Azure, ale niekoniecznie ograniczają do niej dostęp do sieci publicznej. Wszystkie inne usługi platformy Azure wymagają jednak innych mechanizmów kontroli dostępu. Te mechanizmy kontroli zapewniają dodatkową warstwę zabezpieczeń sieci dla zasobów, zapewniając ochronę, która pomaga zapobiegać dostępowi do usługi platformy Azure skojarzonej z zasobem łącza prywatnego.
Prywatne punkty końcowe obsługują zasady sieciowe. Zasady sieciowe umożliwiają obsługę sieciowych grup zabezpieczeń (NSG), tras zdefiniowanych przez użytkownika (UDR) i grup zabezpieczeń aplikacji (ASG). Aby uzyskać więcej informacji na temat włączania zasad sieci dla prywatnego punktu końcowego, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych. Aby użyć usługi ASG z prywatnym punktem końcowym, zobacz Konfigurowanie grupy zabezpieczeń aplikacji (ASG) z prywatnym punktem końcowym.
Usługa Private Link i system DNS
W przypadku korzystania z prywatnego punktu końcowego należy nawiązać połączenie z tą samą usługą platformy Azure, ale używać prywatnego adresu IP punktu końcowego. Połączenie intymnego punktu końcowego wymaga oddzielnych ustawień systemu nazw domen (DNS), aby rozpoznać prywatny adres IP jako nazwę zasobu. strefy Prywatna strefa DNS podaj rozpoznawanie nazw domen w sieci wirtualnej bez niestandardowego rozwiązania DNS. Prywatne strefy DNS można połączyć z każdą siecią wirtualną, aby zapewnić usługi DNS tej sieci.
Prywatna strefa DNS strefy zapewniają oddzielne nazwy stref DNS dla każdej usługi platformy Azure. Jeśli na przykład skonfigurowano prywatną strefę DNS dla usługi obiektów blob konta magazynu na poprzedniej ilustracji, nazwa stref DNS jest privatelink.blob.core.windows.net. Zapoznaj się z dokumentacją firmy Microsoft tutaj, aby wyświetlić więcej nazw prywatnych stref DNS dla wszystkich usług platformy Azure.
Uwaga
Konfiguracje prywatnej strefy DNS prywatnego punktu końcowego będą generowane automatycznie tylko wtedy, gdy używasz zalecanego schematu nazewnictwa: privatelink.postgres.database.azure.com Na nowo aprowizowanych serwerach dostępu publicznego (bez wstrzyknięcia sieci wirtualnej) nastąpiła tymczasowa zmiana układu DNS. Nazwa FQDN serwera będzie teraz nazwą CName rozpoznawaną jako rekord A w formacie servername.privatelink.postgres.database.azure.com. W najbliższej przyszłości ten format będzie stosowany tylko wtedy, gdy na serwerze zostaną utworzone prywatne punkty końcowe.
Hybrydowa usługa DNS dla platformy Azure i zasobów lokalnych
System nazw domen (DNS) jest krytycznym tematem projektowania w ogólnej architekturze strefy docelowej. Niektóre organizacje mogą chcieć korzystać z istniejących inwestycji w system DNS, podczas gdy inne mogą chcieć przyjąć natywne możliwości platformy Azure dla wszystkich swoich potrzeb DNS. Usługę rozpoznawania prywatnego rozpoznawania nazw usługi Azure DNS można używać w połączeniu z strefami Prywatna strefa DNS platformy Azure na potrzeby rozpoznawania nazw między środowiskami lokalnymi. Prywatny program rozpoznawania nazw DNS może przekazywać żądania DNS do innego serwera DNS, a także udostępnia adres IP, który może być używany przez zewnętrzny serwer DNS do przekazywania żądań. Dlatego zewnętrzne lokalne serwery DNS mogą rozpoznawać nazwę znajdującą się w prywatnej strefie DNS.
Więcej informacji na temat używania Prywatna strefa DNS Resolver z lokalnym usługą przesyłania dalej DNS do przekazywania ruchu DNS do usługi Azure DNS można znaleźć w tym dokumencie, a także w tym dokumencie . Opisane rozwiązania umożliwiają rozszerzanie sieci lokalnej, która ma już rozwiązanie DNS w celu rozpoznawania zasobów na platformie Azure. Architektura firmy Microsoft.
Integracja usługi Private Link i DNS w architekturach sieci piasty i szprych
Prywatna strefa DNS strefy są zwykle hostowane centralnie w tej samej subskrypcji platformy Azure, w której wdrażana jest sieć wirtualna koncentratora. Ta centralna praktyka hostingu jest oparta na rozpoznawaniu nazw DNS między środowiskami i innych potrzebach centralnego rozpoznawania nazw DNS, takich jak usługa Active Directory. W większości przypadków tylko administratorzy sieci i tożsamości mają uprawnienia do zarządzania rekordami DNS w strefach.
W takiej architekturze skonfigurowano następujące elementy:
- Lokalne serwery DNS mają warunkowe usługi przesyłania dalej skonfigurowane dla każdej publicznej strefy DNS prywatnego punktu końcowego wskazującego Prywatna strefa DNS Resolver hostowanego w sieci wirtualnej koncentratora.
- Narzędzie rozpoznawania Prywatna strefa DNS hostowane w sieci wirtualnej piasty korzysta z usługi DNS dostarczonej przez platformę Azure (168.63.129.16) jako usługi przesyłania dalej.
- Sieć wirtualna piasty musi być połączona z nazwami stref Prywatna strefa DNS dla usług platformy Azure (takich jak privatelink.postgres.database.azure.com dla usługi Azure Database for PostgreSQL — serwer elastyczny).
- Wszystkie sieci wirtualne platformy Azure używają narzędzia Prywatna strefa DNS Resolver hostowanego w sieci wirtualnej piasty.
- Ponieważ Prywatna strefa DNS Resolver nie jest autorytatywny dla domen firmowych klienta, ponieważ jest to tylko usługa przesyłania dalej (na przykład nazwy domen usługi Active Directory), powinna mieć wychodzące usługi przesyłania dalej punktów końcowych do domen firmowych klienta, wskazując na lokalne serwery DNS lub serwery DNS wdrożone na platformie Azure, które są autorytatywne dla takich stref.
Łącza prywatne i sieciowe grupy zabezpieczeń
Domyślnie zasady sieci są wyłączone dla podsieci w sieci wirtualnej. Aby korzystać z zasad sieciowych, takich jak trasy zdefiniowane przez użytkownika i obsługa sieciowych grup zabezpieczeń, należy włączyć obsługę zasad sieciowych dla podsieci. To ustawienie ma zastosowanie tylko do prywatnych punktów końcowych w podsieci. To ustawienie ma wpływ na wszystkie prywatne punkty końcowe w podsieci. W przypadku innych zasobów w podsieci dostęp jest kontrolowany na podstawie reguł zabezpieczeń w sieciowej grupie zabezpieczeń.
Zasady sieci można włączyć tylko dla sieciowych grup zabezpieczeń, tylko dla tras zdefiniowanych przez użytkownika lub dla obu tych grup. Aby uzyskać więcej informacji, zobacz Azure Docs
Ograniczenia dotyczące sieciowych grup zabezpieczeń i prywatnych punktów końcowych są wymienione tutaj
Ważne
Ochrona przed wyciekiem danych: prywatny punkt końcowy jest mapowany na wystąpienie zasobu PaaS zamiast całej usługi. Konsumenci mogą łączyć się tylko z określonym zasobem. Dostęp do dowolnego innego zasobu w usłudze jest blokowany. Ten mechanizm zapewnia podstawową ochronę przed zagrożeniami wyciekami danych.
Korzystanie z usługi Private Link w połączeniu z regułami zapory
Następujące sytuacje i wyniki są możliwe w przypadku używania usługi Private Link w połączeniu z regułami zapory:
Jeśli nie skonfigurujesz żadnych reguł zapory, domyślnie żaden ruch nie będzie mógł uzyskać dostępu do wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL.
Jeśli skonfigurujesz ruch publiczny lub punkt końcowy usługi i utworzysz prywatne punkty końcowe, różne typy ruchu przychodzącego są autoryzowane przez odpowiedni typ reguły zapory.
Jeśli nie skonfigurujesz żadnego publicznego ruchu lub punktu końcowego usługi i utworzysz prywatne punkty końcowe, wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL będzie dostępne tylko za pośrednictwem prywatnych punktów końcowych. Jeśli nie skonfigurujesz ruchu publicznego ani punktu końcowego usługi, po odrzuceniu lub usunięciu wszystkich zatwierdzonych prywatnych punktów końcowych żaden ruch nie będzie mógł uzyskać dostępu do wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL.
Rozwiązywanie problemów z łącznością z siecią opartą na prywatnym punkcie końcowym
Poniżej przedstawiono podstawowe obszary sprawdzania, czy występują problemy z łącznością przy użyciu sieci opartej na prywatnym punkcie końcowym:
- Sprawdź przypisania adresów IP: sprawdź, czy prywatny punkt końcowy ma przypisany prawidłowy adres IP i czy nie ma konfliktów z innymi zasobami. Aby uzyskać więcej informacji na temat prywatnego punktu końcowego i adresu IP, zobacz ten dokument
- Sprawdź sieciowe grupy zabezpieczeń: Przejrzyj reguły sieciowej grupy zabezpieczeń dla podsieci prywatnego punktu końcowego, aby upewnić się, że wymagany ruch jest dozwolony i nie ma reguł powodujących konflikt. Aby uzyskać więcej informacji na temat sieciowej grupy zabezpieczeń, zobacz ten dokument
- Zweryfikuj konfigurację tabeli tras: upewnij się, że tabele tras skojarzone z podsiecią prywatnego punktu końcowego i połączone zasoby są poprawnie skonfigurowane przy użyciu odpowiednich tras.
- Monitorowanie sieci i diagnostyka: skorzystaj z usługi Azure Network Watcher, aby monitorować i diagnozować ruch sieciowy przy użyciu narzędzi, takich jak monitor Połączenie ion lub przechwytywanie pakietów. Aby uzyskać więcej informacji na temat diagnostyki sieci, zobacz ten dokument
Dalsze szczegółowe informacje na temat rozwiązywania problemów prywatnych są również dostępne w tym przewodniku
Rozwiązywanie problemów z rozpoznawaniem nazw DNS za pomocą sieci opartej na prywatnym punkcie końcowym
Poniżej przedstawiono podstawowe obszary sprawdzania, czy występują problemy z rozpoznawaniem nazw DNS przy użyciu sieci opartej na prywatnym punkcie końcowym:
- Zweryfikuj rozpoznawanie nazw DNS: sprawdź, czy serwer DNS lub usługa używana przez prywatny punkt końcowy i połączone zasoby działają prawidłowo. Upewnij się, że ustawienia DNS prywatnego punktu końcowego są dokładne. Aby uzyskać więcej informacji na temat prywatnych punktów końcowych i ustawień strefy DNS, zobacz ten dokument
- Wyczyść pamięć podręczną DNS: wyczyść pamięć podręczną DNS na prywatnym punkcie końcowym lub komputerze klienckim, aby upewnić się, że najnowsze informacje DNS są pobierane i unikać niespójnych błędów.
- Analizowanie dzienników DNS: Przejrzyj dzienniki DNS pod kątem komunikatów o błędach lub nietypowych wzorców, takich jak błędy zapytań DNS, błędy serwera lub przekroczenia limitu czasu. Aby uzyskać więcej informacji na temat metryk DNS, zobacz ten dokument
Następne kroki
- Dowiedz się, jak utworzyć wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL przy użyciu opcji Dostęp prywatny (integracja z siecią wirtualną) w witrynie Azure Portal lub w interfejsie wiersza polecenia platformy Azure.