Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Link Privado do Azure permite que você crie pontos de extremidade privados para o servidor flexível do Banco de Dados do Azure para PostgreSQL para trazê-lo para dentro da sua rede virtual. Essa funcionalidade é uma alternativa recomendada aos recursos de rede fornecidos pela integração de rede virtual.
Com o Link Privado, o tráfego entre sua rede virtual e o serviço atravessa a rede de backbone da Microsoft. Expor seu serviço à Internet pública não é mais necessário. Você pode criar o próprio serviço de link privado em sua rede virtual e oferecê-lo aos seus clientes. A configuração e o consumo por meio do Link Privado são consistentes entre os serviços PaaS do Azure, serviços de propriedade do cliente e serviços de parceiros compartilhados.
O Link Privado é exposto aos usuários por meio de dois tipos de recurso do Azure:
- Pontos de extremidade privados (Microsoft.Network/PrivateEndpoints)
- Serviços de Link privado (Microsoft.Network/PrivateLinkServices)
Pontos de extremidade privados
Um ponto de extremidade privado adiciona uma interface de rede a um recurso, fornecendo-lhe um endereço IP privado atribuído de sua rede virtual. Depois de aplicado, você pode se comunicar com esse recurso exclusivamente por meio da rede virtual. Para obter uma lista de serviços de PaaS que dão suporte à funcionalidade de Link Privado, examine a documentação do Link Privado. Um ponto de extremidade privado é um endereço IP privado em uma rede virtual e uma sub-rede específicas.
Vários pontos de extremidade privados em redes virtuais ou sub-redes diferentes, mesmo que tenham espaços de endereço sobrepostos, podem referenciar a mesma instância de serviço público.
Principais benefícios do Link Privado
O Link Privado fornece os seguintes benefícios:
- Acesso a serviços privados na plataforma do Azure: conecte sua rede virtual usando pontos de extremidade privados a todos os serviços que podem ser usados como componentes de aplicativo no Azure. Os provedores de serviços podem renderizar seus serviços em sua própria rede virtual. Os consumidores podem acessar esses serviços em sua rede virtual local. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure.
- Redes locais e emparelhadas: acesse serviços em execução no Azure do local por meio de emparelhamento privado do Azure ExpressRoute, túneis de VPN (rede virtual privada) e redes virtuais emparelhadas usando pontos de extremidade privados. Não é necessário configurar o peering da Microsoft no ExpressRoute nem utilizar a Internet para acessar o serviço. O Link Privado fornece uma forma segura de migrar cargas de trabalho para o Azure.
- Proteção contra vazamento de dados: um endpoint privado é mapeado para uma instância de recurso de PaaS, em vez de para todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço é bloqueado. Esse mecanismo fornece proteção contra riscos de vazamento de dados.
- Alcance global: conecte-se de forma privada a serviços em execução em outras regiões: a rede virtual do consumidor pode estar na região A, mas pode se conectar a serviços por trás do Link Privado na região B.
Casos de uso para Link Privado com o Banco de Dados do Azure para PostgreSQL em Servidor Flexível
Os clientes podem se conectar ao ponto de extremidade privado de:
- Na mesma rede virtual.
- Uma rede virtual extremidade na mesma região ou entre regiões.
- Conexão entre redes entre regiões.
Os clientes também podem se conectar do local usando o ExpressRoute, o emparelhamento privado ou o túnel VPN. O diagrama simplificado a seguir mostra os casos de uso comuns.
Recursos com suporte para Link Privado
Aqui está uma matriz de disponibilidade de vários recursos para pontos de extremidade privados no servidor flexível do Banco de Dados do Azure para PostgreSQL.
| Recurso | Disponibilidade | Observações |
|---|---|---|
| Alta disponibilidade | Sim | Funciona conforme projetado. |
| Réplica de leitura | Sim | Funciona conforme projetado. |
| Réplica de leitura com pontos de extremidade virtuais | Sim | Funciona conforme projetado. |
| Restauração pontual | Sim | Funciona conforme projetado. |
| Permitindo também acesso público/à Internet com regras de firewall | Sim | Funciona conforme projetado. |
| Atualização de versão principal | Sim | Funciona conforme projetado. |
| autenticação do Microsoft Entra | Sim | Funciona conforme projetado. |
| Pool de conexões com PGBouncer | Sim | Funciona conforme projetado. |
| DNS de ponto de extremidade privado | Sim | Funciona conforme projetado e documentado. |
| Criptografia com chaves gerenciadas pelo cliente | Sim | Funciona conforme projetado. |
Os endpoints privados só podem ser configurados para servidores que foram criados após o suporte ao Private Link ser introduzido no servidor flexível do Azure Database para PostgreSQL, e cujo modo de rede foi configurado para não usar a integração com rede virtual, mas para permitir acesso público.
Os servidores criados antes dessa data e cujo modo de rede foi configurado para não usar a integração de rede virtual, mas o acesso público, ainda não dão suporte à criação de pontos de extremidade privados. O uso de pontos de extremidade privados não é atualmente suportado em servidores criados com integração de rede virtual.
Conectar-se a partir de uma VM do Azure em uma rede virtual pareada
Configure emparelhamento de rede virtual para estabelecer conectividade com o servidor flexível do Banco de Dados do Azure para PostgreSQL a partir de uma máquina virtual (VM) do Azure em uma rede virtual emparelhamento.
Conectar a partir de uma VM do Azure num ambiente de interconexão de redes
Configure uma conexão de gateway VPN de rede para rede para estabelecer conectividade com um servidor flexível do Banco de Dados do Azure para PostgreSQL a partir de uma VM do Azure em uma região ou assinatura diferente.
Conecte-se de um ambiente local por VPN
Para estabelecer a conectividade de um ambiente local com o servidor flexível do Banco de Dados do Azure para PostgreSQL, escolha e implemente uma das seguintes opções:
Segurança de rede e Link Privado
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso de link privado. A plataforma valida as conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais sub-recursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com destinos correspondentes. Por exemplo, para o Armazenamento do Microsoft Azure, você precisaria de pontos de extremidade privados separados para acessar os sub-recursos de arquivo e blob.
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem outros controles de acesso. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os ponto de extremidade privados dão suporte a políticas de rede. As políticas de rede habilitam o suporte para NSGs (grupos de segurança de rede), UDRs (rotas definidas pelo usuário) e ASGs (grupos de segurança de aplicativo). Para saber como habilitar políticas de rede para um ponto de extremidade privado, confira Gerenciar políticas de rede para pontos de extremidade privados. Para usar um ASG com um ponto de extremidade privado, confira Configurar um grupo de segurança de aplicativo com um ponto de extremidade privado.
Link Privado e DNS
Ao usar um ponto de extremidade privado, você precisa se conectar ao mesmo serviço do Azure, mas usar o endereço IP do ponto de extremidade privado. A conexão de ponto de extremidade íntima requer configurações separadas do sistema de nomes de domínio (DNS) para resolver o endereço IP privado para o nome do recurso.
As zonas DNS privadas fornecem resolução de nomes de domínio em uma rede virtual sem uma solução DNS personalizada. Você vincula as zonas DNS privadas a cada rede virtual para fornecer serviços DNS a essa rede.
As zonas DNS privadas fornecem nomes de zona DNS separados para cada serviço do Azure. Por exemplo, se você configurou uma zona DNS privada para o serviço blob da conta de armazenamento na imagem anterior, o nome da zona DNS será privatelink.blob.core.windows.net. Revise a documentação da Microsoft para ver mais dos nomes de zona DNS privada para todos os serviços do Azure.
Observação
As configurações de zona DNS privada para o endpoint privado serão geradas automaticamente apenas se você utilizar o esquema de nomenclatura recomendado: privatelink.postgres.database.azure.com.
Em servidores recém-provisionados de acesso público (não integrados à rede virtual), há uma alteração no layout DNS. O FQDN do servidor agora se torna um registro CNAME no formulário servername.postgres.database.azure.com que aponta para um registro A em um dos seguintes formatos:
- Se o servidor tiver um ponto de extremidade privado com uma zona DNS privada padrão vinculada, o registro A usará este formato:
server_name.privatelink.postgres.database.azure.com. - Se o servidor não tiver pontos de extremidade privados, o registro A usará esse formato
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
DNS híbrido para recursos do Azure e locais
O DNS é um componente de design crítico na arquitetura geral da zona de aterrissagem. Algumas organizações podem querer usar seus investimentos existentes no DNS. Outras podem querer adotar recursos nativos do Azure para todas as suas necessidades de DNS.
Você pode usar o Resolvedor Privado de DNS do Azure em conjunto com zonas DNS privadas do Azure para resolução de nomes entre locais. O Resolvedor Privado de DNS pode encaminhar uma solicitação de DNS para outro servidor DNS e também fornece um endereço IP que pode ser usado por um servidor DNS externo para encaminhar solicitações. Portanto, os servidores DNS locais externos são capazes de resolver nomes localizados em uma zona DNS privada.
Para obter mais informações sobre como usar o Resolvedor Privado de DNS com o encaminhador local de DNS para encaminhar o tráfego de DNS para o DNS do Azure, confira:
- Integração do DNS do endpoint privado do Azure
- Crie uma infraestrutura DNS de ponto de extremidade privado com o Azure Private Resolver para uma carga de trabalho local
As soluções descritas permitem estender a rede local que já tem uma solução DNS em vigor para resolver recursos em uma arquitetura Azure.Microsoft.
Integração de Link Privado do Azure e DNS em arquiteturas de rede hub-and-spoke
As zonas DNS privadas normalmente são hospedadas centralmente na mesma assinatura do Azure em que a rede virtual do hub é implantada. Essa prática de hospedagem central é orientada pela resolução de nomes DNS entre instalações e por outras necessidades de resolução de DNS central, como o Microsoft Entra. Na maioria dos casos, somente administradores de rede e identidade têm permissões para gerenciar registros DNS nas zonas.
Nessa arquitetura, os seguintes componentes são configurados:
- Os servidores DNS locais têm encaminhadores condicionais configurados para cada zona DNS pública de ponto de extremidade privado, apontando para o Resolvedor DNS Privado hospedado na rede virtual do hub.
- O Resolvedor Privado de DNS hospedado na rede virtual do hub usa o DNS fornecido pelo Azure (168.63.129.16) como encaminhador.
- A rede virtual do hub deve ser vinculada aos nomes de zona DNS privada para serviços do Azure (como
privatelink.postgres.database.azure.com, por exemplo, para o servidor flexível do Banco de Dados do Azure para PostgreSQL). - Todas as redes virtuais do Azure usam o Resolvedor Privado de DNS hospedado na rede virtual do hub.
- O Resolvedor DNS Privado não é autoritativo para os domínios corporativos de um cliente porque é apenas um encaminhador (por exemplo, nomes de domínio do Microsoft Entra). Ele deve ter encaminhadores de ponto de extremidade de saída para os domínios corporativos do cliente, apontando para os servidores DNS locais ou servidores DNS implantados no Azure que são autoritativos para tais zonas.
Link Privado e grupos de segurança de rede
Por padrão, as políticas de rede são desabilitadas para uma sub-rede em uma rede virtual. Para usar políticas de rede como suporte a UDRs e NSGs, você deve habilitar o suporte à política de rede para a sub-rede. Essa configuração é aplicável somente a pontos de extremidade privados na sub-rede. Essa configuração afeta todos os pontos de extremidade privados na sub-rede. Para os demais recursos na sub-rede, o acesso é controlado com base nas regras de segurança do no NSG.
Você pode habilitar as políticas de rede somente para NSGs, somente para UDRs ou para ambos. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
As limitações para NSGs e pontos de extremidade privados estão listadas em O que é um ponto de extremidade privado?.
Importante
Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço é bloqueado. Esse mecanismo fornece proteção contra riscos de vazamento de dados.
Link Privado combinado com regras de firewall
As seguintes situações e resultados são possíveis quando você usa o Link Privado em combinação com regras de firewall:
Se você não configurar nenhuma regra de firewall, por padrão, o tráfego não será capaz de acessar o servidor flexível do Banco de Dados do Azure para PostgreSQL.
Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, diferentes tipos de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.
Se você não configurar nenhum tráfego público ou ponto de extremidade de serviço e criar pontos de extremidades privados, o servidor flexível do Banco de Dados do Azure para PostgreSQL poderá ser acessado somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um endpoint de serviço, após todos os endpoints privados aprovados serem rejeitados ou excluídos, nenhum tráfego poderá acessar o servidor flexível do Banco de Dados do Azure para PostgreSQL.
Solucionar problemas
Ao usar pontos de extremidade do Private Link com o servidor flexível do Banco de Dados do Azure para PostgreSQL, podem ocorrer problemas de conectividade devido a configurações incorretas ou restrições de rede. Para solucionar esses problemas, verifique a configuração de pontos de extremidade privados, configurações de DNS, NSGs (grupos de segurança de rede) e tabelas de rotas. Abordar sistematicamente essas áreas pode ajudá-lo a identificar e resolver problemas comuns, garantindo conectividade perfeita e acesso seguro ao seu banco de dados.
Problemas de conectividade com rede privada baseada em endpoint
Se você está com problemas de conectividade ao usar o sistema de rede baseado em ponto de extremidade privado, confira as seguintes áreas:
- Verificar atribuições de endereço IP: verifique se o ponto de extremidade privado tem o endereço IP correto atribuído e se não há conflitos com outros recursos. Para mais informações sobre pontos de extremidade privados e IP, confira Gerenciar pontos de extremidade privados do Azure.
- Verificar os NSGs: revise as regras do NSG para a sub-rede do ponto de extremidade privado para garantir que o tráfego necessário seja permitido e não tenha regras conflitantes. Para obter mais informações sobre NSGs, confira Grupos de segurança de rede.
- Validar a configuração da tabela de rotas: garanta que as tabelas de rotas associadas à sub-rede do endpoint privado e aos recursos conectados estejam configuradas corretamente com as rotas apropriadas.
- Usar monitoramento e diagnóstico de rede: use o Observador de Rede do Azure para monitorar e diagnosticar o tráfego de rede usando ferramentas como Monitor da Conexão ou Captura de Pacotes. Para obter mais informações sobre diagnóstico de rede, confira O que é o Observador de Rede do Azure?.
Mais informações sobre como solucionar problemas de pontos de extremidade privados também estão disponíveis em Solucionar problemas de conectividade do ponto de extremidade privado do Azure.
Resolução de DNS com rede privada baseada em ponto de extremidade privado
Se você está com problemas de resolução de DNS ao usar o sistema de rede baseado em ponto de extremidade privado, confira as seguintes áreas:
- Validar a resolução de DNS: Verifique se o servidor ou serviço DNS usado pelo ponto de extremidade privado e os recursos conectados estão funcionando corretamente. Verifique se as configurações de DNS do ponto de extremidade privado são precisas. Para obter mais informações sobre as configurações de zona DNS e pontos de extremidade privados, confira Valores de zona DNS privada do ponto de extremidade privado do Azure.
- Limpar o cache de DNS: limpe o cache de DNS no ponto de extremidade privado ou na máquina cliente para garantir que as informações de DNS mais recentes sejam recuperadas e para evitar erros divergentes.
- Analisar logs de DNS: revise os logs de DNS em busca de mensagens de erro ou padrões incomuns, como falhas de consulta DNS, erros de servidor ou tempos limite. Para obter mais informações sobre métricas DNS, consulte Métricas e alertas do DNS do Azure.