Dodaj połączenia prywatnych punktów końcowych

Serwer elastyczny usługi Azure Database for PostgreSQL to usługa Azure Private Link. Oznacza to, że można tworzyć prywatne punkty końcowe, aby aplikacje klienckie mogły łączyć się prywatnie i bezpiecznie z elastycznym serwerem usługi Azure Database for PostgreSQL.

Prywatny punkt końcowy do elastycznego serwera usługi Azure Database for PostgreSQL to interfejs sieciowy, który można wdrożyć w podsieci wirtualnej sieci platformy Azure. Każdy host lub usługa, która może kierować ruch sieciowy do tej podsieci, może komunikować się z serwerem elastycznym, aby ruch sieciowy nie musiał przechodzić przez Internet. Cały ruch jest wysyłany prywatnie przy użyciu sieci szkieletowej firmy Microsoft.

Aby uzyskać więcej informacji na temat usługi Azure Private Link i prywatnego punktu końcowego platformy Azure, zobacz Azure Private Link — często zadawane pytania.

Portal

Korzystanie z portalu Azure:

1. Wybierz elastyczny serwer bazy danych Azure dla PostgreSQL.

2. W menu zasobów wybierz pozycję Sieć.

   

3. Jeśli masz wymagane uprawnienia do wdrożenia prywatnego punktu końcowego, możesz go utworzyć, wybierając pozycję Utwórz prywatny punkt końcowy.

   

Uwaga / Notatka

Aby dowiedzieć się więcej o niezbędnych uprawnieniach do wdrażania prywatnego punktu końcowego, zobacz Uprawnienia RBAC platformy Azure dla usługi Azure Private Link.

4. Na stronie Podstawy wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Zasób.

   

5. Skorzystaj z poniższej tabeli, aby zrozumieć znaczenie różnych pól dostępnych na stronie Podstawy i jako wskazówki dotyczące wypełnienia strony:

   Setting	Sugerowana wartość	Description
   Subscription	Wybierz nazwę subskrypcji , w której chcesz utworzyć zasób. Automatycznie wybiera subskrypcję, w której wdrożono serwer.	Subskrypcja to umowa z firmą Microsoft umożliwiająca korzystanie z co najmniej jednej platformy lub usług w chmurze firmy Microsoft, za które naliczane są opłaty w oparciu o opłatę licencyjną za użytkownika lub użycie zasobów w chmurze. Jeśli masz wiele subskrypcji, wybierz subskrypcję, w której chcesz naliczać opłaty za zasób.
   Grupa zasobów	Grupa zasobów w wybranej subskrypcji, w której chcesz utworzyć prywatny punkt końcowy. Może to być istniejąca grupa zasobów lub możesz wybrać pozycję Utwórz nową i podać nazwę w tej subskrypcji, która jest unikatowa wśród istniejących nazw grup zasobów. Automatycznie wybiera grupę zasobów, w której wdrożono serwer.	Grupa zasobów to kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby rozwiązania lub tylko te zasoby, którymi chcesz zarządzać jako grupa. Decydujesz, jak chcesz przydzielić zasoby do grup zasobów w oparciu o to, co jest najbardziej zrozumiałe dla organizacji. Ogólnie rzecz biorąc, dodaj zasoby, które współużytkują ten sam cykl życia do tej samej grupy zasobów, dzięki czemu można je łatwo wdrażać, aktualizować i usuwać jako grupę.
   Nazwa	Nazwa, którą chcesz przypisać do prywatnego punktu końcowego.	Unikatowa nazwa identyfikująca prywatny punkt końcowy, za pomocą którego można nawiązać połączenie z elastycznym serwerem usługi Azure Database for PostgreSQL.
   Nazwa interfejsu sieciowego	Nazwa, którą chcesz przypisać do interfejsu sieciowego skojarzonego z prywatnym punktem końcowym.	Unikatowa nazwa identyfikująca interfejs sieciowy skojarzony z prywatnym punktem końcowym.
   Region	Nazwa jednego z regionów, w których można tworzyć prywatne punkty końcowe dla serwera elastycznego usługi Azure Database for PostgreSQL.	Wybrany region musi być zgodny z siecią wirtualną, w której planujesz wdrożyć prywatny punkt końcowy.

6. Na stronie Zasób wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Sieć wirtualna.

   

7. Skorzystaj z poniższej tabeli, aby zrozumieć znaczenie różnych pól dostępnych na stronie Zasób i jako wskazówki dotyczące wypełnienia strony:

   Setting	Sugerowana wartość	Description
   Typ zasobu	Automatycznie ustaw wartość na Microsoft.DBforPostgreSQL/flexibleServers	Ta wartość jest automatycznie wybierana i odpowiada typowi zasobu, jakim jest elastyczny serwer usługi Azure Database for PostgreSQL według usługi Azure Private Link.
   Resource	Automatycznie ustaw nazwę serwera elastycznego usługi Azure Database for PostgreSQL, dla którego tworzysz prywatny punkt końcowy.	Nazwa zasobu, z którym łączy się prywatny punkt końcowy.
   Docelowy zasób podrzędny	Automatycznie ustaw wartość postgresqlServer.	Typ podźródła wybranego zasobu, do którego może uzyskać dostęp prywatny punkt końcowy.

8. Na stronie Sieć wirtualna wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: DNS.

   

9. W poniższej tabeli przedstawiono znaczenie różnych pól dostępnych na stronie Sieć wirtualna oraz wskazówki dotyczące wypełniania strony:

   Setting	Sugerowana wartość	Description
   Sieć wirtualna	Automatycznie jest ustawiona jako pierwsza (posortowana w kolejności alfabetycznej) sieć wirtualna dostępna w wybranej subskrypcji oraz regionie.	Wyświetlane są tylko sieci wirtualne, do których masz uprawnienia w aktualnie wybranej subskrypcji i regionie.
   podsieć	Automatycznie ustaw nazwę serwera elastycznego usługi Azure Database for PostgreSQL, dla którego tworzysz prywatny punkt końcowy.	Na liście są wyświetlane tylko podsieci w aktualnie wybranej sieci wirtualnej.
   Zasady sieci dla prywatnych punktów końcowych	Domyślnie zasady sieci są wyłączone dla podsieci w sieci wirtualnej. Można włączyć zasady sieciowe tylko dla sieciowych grup zabezpieczeń, tylko dla tras zdefiniowanych przez użytkownika lub dla obu tych grup.	Aby można było używać zasad sieciowych, takich jak trasy zdefiniowane przez użytkownika i obsługa sieciowej grupy zabezpieczeń, należy włączyć obsługę zasad sieciowych dla podsieci. To ustawienie dotyczy tylko prywatnych punktów końcowych w podsieci i wpływa na wszystkie prywatne punkty końcowe w podsieci. W przypadku innych zasobów w podsieci dostęp jest kontrolowany na podstawie reguł zabezpieczeń w sieciowej grupie zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych.
   Konfiguracja prywatnego adresu IP	Automatycznie ustaw opcję dynamicznego przydzielenia jednego z dostępnych adresów IP w zakresie przypisanym do wybranej podsieci.	Ten adres IP jest przypisany do interfejsu sieciowego skojarzonego z prywatnym punktem końcowym. Można ją dynamicznie przydzielić z zakresu przypisanego do wybranej podsieci lub wybrać konkretny adres, który chcesz do niego przypisać. Po utworzeniu prywatnego punktu końcowego nie można zmienić jego adresu IP, niezależnie od tego, który z dwóch trybów alokacji wybieranych podczas tworzenia.
   Grupa zabezpieczeń aplikacji	Domyślnie żadna grupa zabezpieczeń aplikacji nie jest przypisana. Możesz wybrać istniejący lub utworzyć go i przypisać.	Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Platforma obsługuje złożoność jawnych adresów IP i wielu zestawów reguł, co pozwala skupić się na logice biznesowej. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń aplikacji.

10. Na stronie DNS wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Tagi.

    

11. W poniższej tabeli przedstawiono znaczenie różnych pól dostępnych na stronie DNS oraz wskazówki dotyczące wypełniania strony:

    Setting	Sugerowana wartość	Description
    Integracja z prywatną strefą DNS	Włączone domyślnie.	Wybierz pozycję Tak , jeśli chcesz zintegrować prywatny punkt końcowy z prywatną strefą DNS platformy Azure lub Nie , jeśli chcesz użyć własnych serwerów DNS, lub jeśli chcesz rozpoznać nazwę punktu końcowego przy użyciu plików hosta na maszynach, z których chcesz nawiązać połączenie za pośrednictwem prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Konfiguracja DNS prywatnego punktu końcowego. W przypadku skonfigurowania integracji prywatnej strefy DNS prywatna strefa DNS jest automatycznie połączona z siecią wirtualną, w której tworzysz prywatny punkt końcowy.
    Nazwa konfiguracji	Automatycznie ustaw dla Ciebie wartość privatelink-postgres-database-azure-com.	Nazwa przypisana do konfiguracji DNS, która jest skojarzona z prywatną strefą DNS.
    Subscription	Wybierz nazwę subskrypcji , w której chcesz utworzyć prywatną strefę DNS. Automatycznie wybiera subskrypcję, w której wdrożono serwer.	Subskrypcja to umowa z firmą Microsoft umożliwiająca korzystanie z co najmniej jednej platformy lub usług w chmurze firmy Microsoft, za które naliczane są opłaty w oparciu o opłatę licencyjną za użytkownika lub użycie zasobów w chmurze. Jeśli masz wiele subskrypcji, wybierz subskrypcję, w której chcesz naliczać opłaty za zasób.
    Grupa zasobów	Grupa zasobów w wybranej subskrypcji, w której chcesz utworzyć prywatną strefę DNS. Musi to być istniejąca grupa zasobów. Automatycznie wybiera grupę zasobów, w której wdrożono serwer.	Grupa zasobów to kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby rozwiązania lub tylko te zasoby, którymi chcesz zarządzać jako grupa. Decydujesz, jak chcesz przydzielić zasoby do grup zasobów w oparciu o to, co jest najbardziej zrozumiałe dla organizacji. Ogólnie rzecz biorąc, dodaj zasoby, które współużytkują ten sam cykl życia do tej samej grupy zasobów, dzięki czemu można je łatwo wdrażać, aktualizować i usuwać jako grupę.
    Prywatna strefa DNS	Automatycznie ustaw dla Ciebie wartość privatelink.postgres.database.azure.com.	Ta nazwa jest przypisana do zasobu prywatnej strefy DNS.

12. Na stronie Tagi wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

    

13. Skorzystaj z poniższej tabeli, aby zrozumieć znaczenie różnych pól dostępnych na stronie Tagi i jako wskazówki dotyczące wypełnienia strony:

    Setting	Sugerowana wartość	Description
    Nazwa	Pozostaw puste.	Nazwa tagu, który chcesz przypisać do prywatnego punktu końcowego i prywatnej strefy DNS (jeśli wybrano integrację prywatnej strefy DNS na stronie DNS ).
    Wartość	Pozostaw puste.	Wartość, którą chcesz przypisać do tagu o podanej nazwie i którą chcesz przypisać do prywatnego punktu końcowego i prywatnej strefy DNS (jeśli wybrano integrację prywatnej strefy DNS na stronie DNS ).
    Resource	Pozostaw wartość domyślną.	Możesz wybrać zasoby, do których chcesz przypisać dany tag. Może to być prywatny punkt końcowy, prywatna strefa DNS (jeśli wybrano integrację prywatnej strefy DNS na stronie DNS ) lub obie.

14. Na stronie Przeglądanie i tworzenie upewnij się, że wszystko jest skonfigurowane tak, jak chcesz. Następnie wybierz przycisk Utwórz.

    

15. Wdrożenie jest inicjowane i jest wyświetlane powiadomienie po zakończeniu wdrażania.

    

CLI

Jeśli masz wymagane uprawnienia do wdrożenia prywatnego punktu końcowego i zatwierdzenia połączenia prywatnego punktu końcowego z serwerem, możesz utworzyć połączenie prywatnego punktu końcowego za pomocą polecenia az network private-endpoint create .

Aby utworzyć prywatny punkt końcowy i przypisać do interfejsu sieciowego adres IP dynamicznie przydzielony z zakresu przypisanego do wybranej podsieci:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Aby utworzyć prywatny punkt końcowy i przypisać do interfejsu sieciowego statycznie przydzielony adres IP z zakresu przypisanego do wybranej podsieci:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Jeśli masz wymagane uprawnienia, połączenie prywatnego punktu końcowego powinno zostać automatycznie zatwierdzone. Jeśli tak jest, dane wyjściowe następującego polecenia będą wyświetlane status jako Approved, i description jako Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Obiekt az network private-endpoint create tworzy prywatną strefę privatelink.postgres.database.azure.com DNS, jeśli nie istnieje. Łączy prywatną strefę DNS z siecią wirtualną, w której jest tworzony prywatny punkt końcowy. Jednak nie tworzy grupy strefy DNS w prywatnym punkcie końcowym Jeśli chcesz, możesz zintegrować prywatny punkt końcowy z prywatną strefą DNS. W tym celu:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Jeśli spróbujesz utworzyć prywatny punkt końcowy ze statycznie przydzielonym prywatnym adresem IP, a określony adres jest już używany przez inny interfejs sieciowy, zostanie wyświetlony następujący błąd:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Gdy spróbujesz utworzyć prywatny punkt końcowy, a sieć wirtualna, do której odwołujesz się za pośrednictwem parametrów --subscription, --resource-group i --vnet-name, nie istnieje. Jeśli sieć wirtualna istnieje, ale region, w którym jest wdrożony, nie jest zgodny z regionem, w którym próbujesz wdrożyć prywatny punkt końcowy, zostanie wyświetlony następujący błąd:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Jeśli spróbujesz utworzyć prywatny punkt końcowy i jeden już istnieje o tej samej nazwie, ale określisz inną wartość dla --connection-name elementu lub dla --vnet-nameelementu , zostanie wyświetlony następujący błąd:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Jeśli spróbujesz utworzyć prywatny punkt końcowy i jeden już istnieje o tej samej nazwie, ale określisz inną wartość dla --subnetparametru , zostanie wyświetlony następujący błąd:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Jeśli spróbujesz utworzyć prywatny punkt końcowy i jeden już istnieje o tej samej nazwie, ale określisz inną wartość dla --locationparametru , zostanie wyświetlony następujący błąd:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Treści powiązane

• Nawiązywanie kontaktów.
• Włącz dostęp publiczny.
• Wyłącz dostęp publiczny.
• Dodaj reguły zapory.
• Usuń reguły zapory.
• Usuń połączenia prywatnego punktu końcowego.
• Zatwierdzanie połączeń prywatnych punktów końcowych.
• Odrzuć połączenia z prywatnym punktem końcowym.