Tworzenie reguł zapory dla usługi Azure Database for PostgreSQL — serwer elastyczny i zarządzanie nimi przy użyciu interfejsu wiersza polecenia platformy Azure

  • Artykuł

DOTYCZY: Azure Database for PostgreSQL — serwer elastyczny

Serwer elastyczny usługi Azure Database for PostgreSQL obsługuje dwa typy wzajemnie wykluczających się metod łączności sieciowej w celu nawiązania połączenia z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL. Oto te opcje:

  • Dostęp publiczny (dozwolone adresy IP). Tę metodę można dodatkowo zabezpieczyć przy użyciu sieci opartej na usłudze Private Link z serwerem elastycznym usługi Azure Database for PostgreSQL w wersji zapoznawczej.
  • Dostęp prywatny (integracja z siecią wirtualną)

Ten artykuł koncentruje się na tworzeniu wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym (dozwolonymi adresami IP) przy użyciu interfejsu wiersza polecenia platformy Azure i zawiera omówienie poleceń interfejsu wiersza polecenia platformy Azure, których można użyć do tworzenia, aktualizowania, usuwania, wyświetlania i pokazywania reguł zapory po utworzeniu serwera. W przypadku dostępu publicznego (dozwolonych adresów IP) połączenia z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL są ograniczone tylko do dozwolonych adresów IP. Adresy IP klienta muszą być dozwolone w regułach zapory. Aby dowiedzieć się więcej na ten temat, zapoznaj się z tematem Dostęp publiczny (dozwolone adresy IP). Reguły zapory można zdefiniować w momencie tworzenia serwera (zalecane), ale można je również dodać później.

Uruchamianie usługi Azure Cloud Shell

Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do .https://shell.azure.com/bash Wybierz pozycję Kopiuj , aby skopiować bloki kodu, wklej go w usłudze Cloud Shell, a następnie wybierz klawisz Enter , aby go uruchomić.

Jeśli wolisz zainstalować interfejs wiersza polecenia i korzystać z niego lokalnie, ten przewodnik Szybki start wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Wymagania wstępne

Musisz zalogować się do swojego konta przy użyciu polecenia az login . Zanotuj właściwość ID , która odnosi się do identyfikatora subskrypcji dla konta platformy Azure.

az login

Wybierz określoną subskrypcję w ramach konta przy użyciu polecenia az account set . Zanotuj wartość IDENTYFIKATORa z danych wyjściowych az login , aby użyć jej jako wartości argumentu subskrypcji w poleceniu . Jeśli masz wiele subskrypcji, wybierz odpowiednią subskrypcję, w ramach której powinny być naliczane opłaty za ten zasób. Aby uzyskać całą subskrypcję, użyj polecenia az account list.

az account set --subscription <subscription id>

Tworzenie reguły zapory podczas tworzenia elastycznego wystąpienia serwera usługi Azure Database for PostgreSQL przy użyciu interfejsu wiersza polecenia platformy Azure

Możesz użyć az postgres flexible-server --public access polecenia , aby utworzyć wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym (dozwolone adresy IP) i skonfigurować reguły zapory podczas tworzenia wystąpienia serwera elastycznego usługi Azure Database for PostgreSQL. Możesz użyć przełącznika --public-access , aby udostępnić dozwolone adresy IP, które będą mogły nawiązać połączenie z serwerem. Można podać jeden lub zakres adresów IP, które mają być uwzględnione na liście dozwolonych adresów IP. Zakres adresów IP musi być oddzielony kreską i nie zawiera żadnych spacji. Istnieją różne opcje tworzenia elastycznego wystąpienia serwera usługi Azure Database for PostgreSQL przy użyciu interfejsu wiersza polecenia, jak pokazano w poniższych przykładach.

Zapoznaj się z dokumentacją referencyjną interfejsu wiersza polecenia platformy Azure, aby uzyskać pełną listę konfigurowalnych parametrów interfejsu wiersza polecenia. Na przykład w poniższych poleceniach można opcjonalnie określić grupę zasobów.

  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym i dodaj adres IP klienta, aby mieć dostęp do serwera:

    az postgres flexible-server create --public-access <my_client_ip>

  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym i dodaj zakres adresów IP, aby mieć dostęp do tego serwera:

    az postgres flexible-server create --public-access <start_ip_address-end_ip_address>

  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym i zezwól aplikacjom z adresów IP platformy Azure na łączenie się z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL:

    az postgres flexible-server create --public-access 0.0.0.0

    Ważne

    Ta opcja umożliwia skonfigurowanie zapory w celu umożliwienia dostępu publicznego z usług i zasobów platformy Azure na tym serwerze, w tym połączeń z subskrypcji innych klientów. W przypadku wybrania tej opcji upewnij się, że uprawnienia logowania i użytkownika zezwalają na dostęp tylko uprawnionym użytkownikom.

    • Utwórz wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym i zezwól na cały adres IP: 
      az postgres flexible-server create --public-access all

      Uwaga

      Poprzednie polecenie tworzy regułę zapory z początkowym adresem IP=0.0.0.0, końcowym adresem IP=255.255.255.255 i nie są blokowane żadne adresy IP. Każdy host w Internecie może uzyskać dostęp do tego serwera. Zdecydowanie zaleca się używanie tej reguły tylko tymczasowo i tylko na serwerach testowych, które nie zawierają poufnych danych.

  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for PostgreSQL z dostępem publicznym i bez adresu IP:

    az postgres flexible-server create --public-access none

    Uwaga

    Nie zalecamy tworzenia serwera bez żadnych reguł zapory. Jeśli nie dodasz żadnych reguł zapory, żaden klient nie będzie mógł nawiązać połączenia z serwerem.

Tworzenie reguły zapory i zarządzanie nią po utworzeniu serwera

Polecenie az postgres flexible-server firewall-rule służy z interfejsu wiersza polecenia platformy Azure do tworzenia, usuwania, wyświetlania i aktualizowania reguł zapory.

Polecenia:

  • create: Utwórz regułę zapory serwera elastycznego usługi Azure Database for PostgreSQL.
  • lista: Wyświetl listę reguł zapory serwera elastycznego usługi Azure Database for PostgreSQL.
  • update: Zaktualizuj regułę zapory serwera elastycznego usługi Azure Database for PostgreSQL.
  • show: Pokaż szczegóły reguły zapory serwera elastycznego usługi Azure Database for PostgreSQL.
  • delete: Usuń regułę zapory serwera elastycznego usługi Azure Database for PostgreSQL.

Zapoznaj się z dokumentacją referencyjną interfejsu wiersza polecenia platformy Azure, aby uzyskać pełną listę konfigurowalnych parametrów interfejsu wiersza polecenia. Na przykład w poniższych poleceniach można opcjonalnie określić grupę zasobów.

Tworzenie reguły zapory

Użyj polecenia , az postgres flexible-server firewall-rule create aby utworzyć nową regułę zapory na serwerze. Aby zezwolić na dostęp do zakresu adresów IP, podaj adres IP jako początkowy adres IP i końcowy adres IP, jak w tym przykładzie. To polecenie oczekuje również nazwy grupy zasobów platformy Azure, w której serwer znajduje się jako parametr.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Aby zezwolić na dostęp dla pojedynczego adresu IP, wystarczy podać pojedynczy adres IP, jak w tym przykładzie.

az postgres flexible-server firewall-rule create --name mydemoserver  --resource-group testGroup  --start-ip-address 1.1.1.1

Aby zezwolić aplikacjom z adresów IP platformy Azure na łączenie się z wystąpieniem serwera elastycznego usługi Azure Database for PostgreSQL, podaj adres IP 0.0.0.0 jako początkowy adres IP, jak w tym przykładzie.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 0.0.0.0

Ważne

Ta opcja umożliwia skonfigurowanie zapory w celu umożliwienia dostępu publicznego z usług i zasobów platformy Azure na tym serwerze, w tym połączeń z subskrypcji innych klientów. W przypadku wybrania tej opcji upewnij się, że uprawnienia logowania i użytkownika zezwalają na dostęp tylko uprawnionym użytkownikom.

Po pomyślnych działaniach każde polecenie tworzenia wyświetla szczegóły utworzonej reguły zapory w formacie JSON (domyślnie). Jeśli wystąpi błąd, dane wyjściowe zawierają zamiast tego tekst komunikatu o błędzie.

Wyświetlanie listy reguł zapory

Użyj polecenia , az postgres flexible-server firewall-rule list aby wyświetlić listę istniejących reguł zapory serwera na serwerze. Zwróć uwagę, że atrybut nazwy serwera jest określony w przełączniku --name .

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup

Dane wyjściowe zawierają listę reguł, jeśli istnieją, w formacie JSON (domyślnie). Możesz użyć przełącznika tabeli wyjściowej**, aby wyświetlić wyniki w bardziej czytelnym formacie tabeli.

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup --output table

Aktualizowanie reguły zapory

az postgres flexible-server firewall-rule update Użyj polecenia , aby zaktualizować istniejącą regułę zapory na serwerze. Podaj nazwę istniejącej reguły zapory jako dane wejściowe, a także atrybuty początkowego adresu IP i końcowego adresu IP do zaktualizowania.

az postgres flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Po powodzeniu dane wyjściowe polecenia wyświetla szczegóły zaktualizowanej reguły zapory w formacie JSON (domyślnie). Jeśli wystąpi błąd, dane wyjściowe zawierają zamiast tego tekst komunikatu o błędzie.

Uwaga

Jeśli reguła zapory nie istnieje, reguła zostanie utworzona przez polecenie aktualizacji.

Pokaż szczegóły reguły zapory

Użyj polecenia , az postgres flexible-server firewall-rule show aby wyświetlić istniejące szczegóły reguły zapory z serwera. Podaj nazwę istniejącej reguły zapory jako dane wejściowe.

az postgres flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Po powodzeniu dane wyjściowe polecenia wyświetla szczegółowe informacje o określonej regule zapory w formacie JSON (domyślnie). Jeśli wystąpi błąd, dane wyjściowe zawierają zamiast tego tekst komunikatu o błędzie.

Usuwanie reguły zapory

Użyj polecenia , az postgres flexible-server firewall-rule delete aby usunąć istniejącą regułę zapory z serwera. Podaj nazwę istniejącej reguły zapory.

az postgres flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Po powodzeniu nie ma danych wyjściowych. Po awarii zostanie wyświetlony tekst komunikatu o błędzie.

Następne kroki