Banco de Dados do Azure para PostgreSQL – Sistema de rede de Servidor Flexível com Link Privado
O Link Privado do Azure permite criar pontos de extremidade privados para o servidor flexível do Banco de Dados do Azure para PostgreSQL, a fim de trazê-lo para dentro da sua Rede Virtual (VNET). Essa funcionalidade é introduzida além dos recursos de rede já existentes fornecidos pela Integração VNET, que atualmente está em disponibilidade geral com o servidor flexível do Banco de Dados do Azure para PostgreSQL. Com o link privado, o tráfego entre sua rede virtual e o serviço viaja a rede de backbone da Microsoft. Expor seu serviço à Internet pública não é mais necessário. Você pode criar o próprio serviço de link privado em sua rede virtual e oferecê-lo aos seus clientes. A configuração e o consumo usando o Link Privado do Azure são consistentes entre os serviços de parceiro de PaaS do Azure, de propriedade do cliente e de parceiros compartilhados.
O Link Privado é exposto aos usuários por meio de dois tipos de recurso do Azure:
- Pontos de extremidade privados (Microsoft.Network/PrivateEndpoints)
- Serviços de link privado (Microsoft.Network/PrivateLinkServices)
Pontos de extremidade privados
Um ponto de extremidade privado adiciona um adaptador de rede a um recurso, fornecendo-lhe um endereço IP privado atribuído de sua VNET (Rede Virtual). Depois de aplicado, você pode se comunicar com esse recurso exclusivamente por meio da VNET (rede virtual). Para obter uma lista dos serviços de PaaS que permitem a funcionalidade do Link Privado, leia a documentação do Link Privado. Um ponto de extremidade privado é um endereço IP privado em uma VNet e sub-rede específicas.
A mesma instância de serviço público pode ser referenciada por vários pontos de extremidade privados em VNets/sub-redes diferentes, mesmo que tenham espaços de endereço sobrepostos.
Principais benefícios do Link Privado do Azure
O Link Privado do Azure fornece os seguintes benefícios:
Acessar serviços privados na plataforma do Azure: conecte sua rede virtual usando pontos de extremidade privados a todos os serviços que podem ser usados como componentes de aplicativo no Azure. Os provedores de serviços podem renderizar seus serviços em sua rede virtual e os consumidores podem acessar esses serviços em sua rede virtual local. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure.
Redes locais e emparelhadas: Acesse serviços em execução no Azure do local por meio de emparelhamento privado do ExpressRoute, túneis de VPN e redes virtuais emparelhadas usando pontos de extremidade privados. Não é necessário configurar o emparelhamento da Microsoft no ExpressRoute nem atravessar a Internet para acessar o serviço. O Link Privado fornece uma forma segura de migrar cargas de trabalho para o Azure.
Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso de PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço é bloqueado. Esse mecanismo fornece proteção contra riscos de vazamento de dados.
Alcance Global: Conecte-se de maneira privada aos serviços executados em outras regiões. A rede virtual do consumidor pode estar na região A e pode se conectar aos serviços por trás do Link Privado na região B.
Casos de uso para link privado com o servidor flexível do Banco de Dados do Azure para PostgreSQL
Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, da VNet emparelhada na mesma região ou por meio da conexão VNet a VNet nas regiões. Além disso, os clientes podem se conectar localmente usando o ExpressRoute, o emparelhamento privado ou o túnel de VPN. Veja abaixo um diagrama simplificado que mostra os casos de uso comuns.
Limitações e recursos com suporte para Link Privado com o servidor flexível do Banco de Dados do Azure para PostgreSQL
Matriz de disponibilidade entre recursos para Ponto de Extremidade Privado no servidor flexível do Banco de Dados do Azure para PostgreSQL.
| Recurso | Disponibilidade | Observações |
|---|---|---|
| Alta disponibilidade (HA) | Sim | Funciona conforme designado |
| Réplica de leitura | Yes | Funciona conforme designado |
| Réplica de Leitura com pontos de extremidade virtuais | Yes | Funciona conforme designado |
| Restauração pontual | Sim | Funciona conforme designado |
| Permitindo também acesso público/à Internet com regras de firewall | Sim | Funciona conforme designado |
| Atualização da versão principal (MVU) | Sim | Funciona conforme designado |
| Autenticação do Microsoft Entra (Entra Auth) | Sim | Funciona conforme designado |
| Pool de conexões com PGBouncer | Sim | Funciona conforme designado |
| DNS do ponto de extremidade privado | Sim | Funciona conforme designado e documentado |
| Criptografia com CMK (Chaves Gerenciadas pelo Cliente) | Yes | Funciona conforme designado |
Conectar-se de uma VM do Azure em rede virtual emparelhada
Configure o emparelhamento de rede virtual para estabelecer a conectividade com o servidor flexível do Banco de Dados do Azure para PostgreSQL a partir de uma VM do Azure em uma rede virtual emparelhada.
Conectar-se por meio de uma VM do Azure em um ambiente VNET a VNET
Configure a conexão de gateway de VPN VNET a VNET para estabelecer a conectividade com uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL por meio de uma VM do Azure em uma região ou uma assinatura diferente.
Conectar-se por meio de um ambiente local pela VPN
Para estabelecer a conectividade de um ambiente local com uma instância do servidor flexível do Banco de Dados do Azure para PostgreSQL, escolha e implemente uma das opções:
Segurança de Rede e Link Privado
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso do link privado. A plataforma valida as conexões de rede, permitindo apenas aquelas que alcançam o recurso de link privado especificado. Para acessar mais sub-recursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com os destinos correspondentes. No caso do Armazenamento do Microsoft Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os sub-recursos arquivo e blob.
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem outros controles de acesso. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os pontos de extremidade privados dão suporte a políticas de rede. As políticas de rede habilitam o suporte para NSG (grupos de segurança de rede), UDR (rotas definidas pelo usuário) e ASG (grupos de segurança de aplicativo). Para saber como habilitar políticas de rede para um ponto de extremidade privado, confira Gerenciar políticas de rede para pontos de extremidade privados. Para usar um ASG com um ponto de extremidade privado, confira Configurar um ASG (grupo de segurança de aplicativo) com um ponto de extremidade privado.
Link Privado e DNS
Ao usar um ponto de extremidade privado, você precisa se conectar ao mesmo serviço do Azure, mas usar o endereço IP do ponto de extremidade privado. A conexão de ponto de extremidade íntimo requer configurações DNS (Sistema de Nomes de Domínio) separadas para resolver o endereço IP privado para o nome do recurso. As zonas DNS privadas fornecem resolução de nomes de domínio em uma rede virtual sem uma solução DNS personalizada. Você vincula as zonas DNS privadas a cada rede virtual para fornecer serviços DNS a essa rede.
As zonas DNS privadas fornecem nomes de zona DNS separados para cada serviço do Azure. Por exemplo, se você configurou uma zona DNS privada para o serviço de blob da conta de armazenamento na imagem anterior, o nome das zonas DNS será privatelink.blob.core.windows.net. Confira a documentação da Microsoft aqui para ver mais dos nomes de zona DNS privados para todos os serviços do Azure.
Observação
As configurações de zona DNS privada do ponto de extremidade privado só serão geradas automaticamente se você usar o esquema de nomenclatura recomendado: privatelink.postgres.database.azure.com Em servidores de acesso público recém-provisionado (não injetado em VNET), há uma alteração temporária de layout de DNS. O FQDN do servidor agora será um CName, resolvendo para um registro A, em formato servername.privatelink.postgres.database.azure.com. Em um futuro próximo, esse formato será aplicado somente quando pontos de extremidade privados forem criados no servidor.
DNS híbrido para recursos do Azure e locais
O DNS (Sistema de Nomes de Domínio) é um tópico de design crítico na arquitetura geral da zona de destino. Algumas organizações podem querer usar seus investimentos existentes no DNS, enquanto outras podem querer adotar recursos nativos do Azure para todas as suas necessidades de DNS. Você pode usar o serviço Resolvedor Privado de DNS do Azure em conjunto com zonas DNS privadas do Azure para resolução de nomes entre locais. O Resolvedor Privado de DNS pode encaminhar a solicitação de DNS para outro servidor DNS e também fornece um endereço IP que pode ser usado pelo servidor DNS externo para encaminhar solicitações. Portanto, os servidores DNS locais externos são capazes de resolver o nome localizado em uma zona DNS privada.
Para obter mais informações sobre como usar o Resolvedor Privado de DNS com o encaminhador local de DNS para encaminhar o tráfego de DNS para o DNS do Azure, consulte este documento, bem como este documento. As soluções descritas permitem estender a rede local que já tem uma solução DNS em vigor para resolver recursos no Azure. Arquitetura da Microsoft.
A integração do Link Privado e DNS nas arquiteturas de hub e spoke
As zonas DNS privadas normalmente são hospedadas centralmente na mesma assinatura do Azure em que a VNet do hub é implantada. Essa prática de hospedagem central é orientada pela resolução de nomes DNS entre instalações e por outras necessidades de resolução de DNS central, como o Active Directory. Na maioria dos casos, somente administradores de rede e identidade têm permissões para gerenciar registros DNS nas zonas.
Nessa arquitetura, é configurado o seguinte:
- Os servidores DNS locais têm encaminhadores condicionais configurados para cada zona DNS pública de ponto de extremidade privado, apontando para o Resolvedor Privado de DNS hospedado na VNet do hub.
- O Resolvedor Privado de DNS hospedado na VNet do hub usa o DNS fornecido pelo Azure (168.63.129.16) como encaminhador.
- A VNet do hub deve estar vinculada aos nomes de zona DNS privada para serviços do Azure (como privatelink.postgres.database.azure.com, para o Banco de Dados do Azure para PostgreSQL – Servidor Flexível).
- Todas as VNets do Azure usam o Resolvedor Privado de DNS hospedado na VNet do hub.
- Como o Resolvedor Privado de DNS não é autoritativo para os domínios corporativos do cliente, pois é apenas um encaminhador (por exemplo, nomes de domínio do Active Directory), ele deve ter encaminhadores de ponto de extremidade de saída para os domínios corporativos do cliente, apontando para os servidores DNS locais ou servidores DNS implantados no Azure que são autoritativos para essas zonas.
Link Privado e Grupos de Segurança de Rede
Por padrão, as políticas de rede são desabilitadas para uma sub-rede em uma rede virtual. Para utilizar políticas de rede como suporte a Rotas Definidas pelo Usuário e Grupos de Segurança de Rede, o suporte a políticas de rede deve ser habilitado para a sub-rede. Essa configuração só é aplicável a pontos de extremidade privados na sub-rede. Essa configuração afeta todos os pontos de extremidade privados na sub-rede. Para os demais recursos na sub-rede, o acesso é controlado com base na definição de regras de segurança do grupo de segurança de rede.
As políticas de rede podem ser habilitadas apenas para Grupos de Segurança de Rede, apenas para Rotas Definidas pelo Usuário ou para ambos. Para obter mais informações, confira osdocumentos do Azure
As limitações para NSG (Grupos de Segurança de Rede) e Pontos de Extremidade Privados estão listadas aqui
Importante
Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso de PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço é bloqueado. Esse mecanismo fornece proteção contra riscos de vazamento de dados.
Link Privado combinado com regras de firewall
As seguintes situações e resultados são possíveis quando você usa o Link Privado em combinação com regras de firewall:
Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego será capaz de acessar o servidor flexível do Banco de Dados do Azure para PostgreSQL.
Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, os tipos diferentes de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.
Se você não configurar nenhum tráfego público ou ponto de extremidade de serviço e criar pontos de extremidades privados, o servidor flexível do Banco de Dados do Azure para PostgreSQL poderá ser acessado somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidades privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o servidor flexível do Banco de Dados do Azure para PostgreSQL.
Solução de problemas de conectividade com o sistema de rede baseado em Ponto de Extremidade Privado
A seguir estão as áreas básicas para verificar se você está tendo problemas de conectividade usando o sistema de rede baseado em Ponto de Extremidade Privado:
- Verificar atribuições de endereço IP: verifique se o ponto de extremidade privado tem o endereço IP correto atribuído e se não há conflitos com outros recursos. Para obter mais informações sobre o ponto de extremidade privado e o IP, consulte este documento
- Verificar os NSGs (Grupos de Segurança de Rede): examine as regras do NSG para a sub-rede do ponto de extremidade privado para garantir que o tráfego necessário seja permitido e não tenha regras conflitantes. Para obter mais informações sobre o NSG, consulte este documento
- Validar a Configuração da Tabela de Rotas: garanta que as tabelas de rotas associadas à sub-rede do ponto de extremidade privado e os recursos conectados estão configurados corretamente com as rotas apropriadas.
- Usar Monitoramento e Diagnóstico de Rede: aproveite o Observador de Rede do Azure para monitorar e diagnosticar o tráfego de rede usando ferramentas como Monitor da Conexão ou Captura de Pacotes. Para obter mais informações sobre diagnóstico de rede, consulte este documento
Mais detalhes sobre a solução de problemas privados também estão disponíveis neste guia
Solução de problemas de resolução de DNS com o sistema de rede baseado em ponto de extremidade privado
A seguir estão as áreas básicas para verificar se estiver tendo problemas de resolução de DNS usando o sistema de rede baseado em ponto de extremidade privado:
- Validar resolução de DNS: verifique se o servidor DNS ou o serviço usado pelo ponto de extremidade privado e os recursos conectados estão funcionando corretamente. Verifique se as configurações de DNS do ponto de extremidade privado são precisas. Para obter mais informações sobre pontos de extremidade privados e configurações de zona DNS, consulte este documento
- Limpar o Cache de DNS: desmarque o cache de DNS no ponto de extremidade privado ou no computador cliente, para garantir que as informações de DNS mais recentes sejam recuperadas e evitar erros inconsistentes.
- Analisar logs de DNS: examine os logs de DNS em busca de mensagens de erro ou padrões incomuns, como falhas de consulta DNS, erros de servidor ou tempos limite. Para obter mais informações sobre as métricas de DNS, consulte este documento
Próximas etapas
- Saiba como criar uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL por meio da opção Acesso privado (integração de VNet) no portal do Azure ou na CLI do Azure.