Adicionar conexões do ponto de extremidade privado

O servidor flexível do Banco de Dados do Azure para PostgreSQL é um serviço de Link Privado do Azure. Isso significa que você pode criar pontos de extremidade privados para que seus aplicativos cliente possam se conectar de forma privada e segura ao servidor flexível do Banco de Dados do Azure para PostgreSQL.

Um ponto de extremidade privado para o servidor flexível do Banco de Dados do Azure para PostgreSQL é uma interface de rede que você pode injetar em uma sub-rede de uma rede virtual do Azure. Qualquer host ou serviço que possa rotear o tráfego de rede para essa sub-rede é capaz de se comunicar com seu servidor flexível para que o tráfego de rede não precise atravessar a Internet. Todo o tráfego é enviado em particular usando o backbone da Microsoft.

Para obter mais informações sobre o Link Privado do Azure e o Ponto de Extremidade Privado do Azure, consulte as perguntas frequentes sobre o Link Privado do Azure.

Portal

Usando o portal do Azure:

1. Selecione seu servidor flexível do Azure Database for PostgreSQL.

2. No menu de recursos, selecione Rede.

   

3. Se você tiver as permissões necessárias para implantar um ponto de extremidade privado, poderá criá-lo selecionando Criar ponto de extremidade privado.

   

Observação

Para saber mais sobre as permissões necessárias para implantar um ponto de extremidade privado, consulte as permissões RBAC do Azure para o Link Privado do Azure.

4. Na página Noções básicas , preencha todos os detalhes necessários. Em seguida, selecione Avançar: Recurso.

   

5. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Informações básicas e como orientação para preencher a página:

   Configurações	Valor sugerido	Description
   Subscription	Selecione o nome da assinatura na qual você deseja criar o recurso. Ele seleciona automaticamente a assinatura na qual o servidor é implantado.	Uma assinatura é um contrato com a Microsoft para usar uma ou mais plataformas ou serviços de nuvem da Microsoft, para os quais as cobranças são acumuladas com base em uma taxa de licença por usuário ou no valor de recursos baseados na nuvem. Caso você tenha várias assinaturas, escolha a assinatura na qual você deseja receber a cobrança do recurso.
   Grupo de recursos	O grupo de recursos na assinatura selecionada, no qual você deseja criar o ponto de extremidade privado. Pode ser um grupo de recursos existente ou você pode selecionar Criar novo e fornecer um nome nessa assinatura que seja exclusivo entre os nomes de grupos de recursos existentes. Ele seleciona automaticamente o grupo de recursos no qual o servidor é implantado.	Um grupo de recursos é um contêiner que mantém os recursos relacionados a uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Você decide como deseja alocar recursos para grupos de recursos com base no que faz mais sentido para sua organização. Em geral, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa implantá-los, atualizá-los e excluí-los facilmente como um grupo.
   Nome	O nome que você deseja atribuir ao ponto de extremidade privado.	Um nome exclusivo que identifica o ponto de extremidade privado por meio do qual você pode se conectar ao servidor flexível do Banco de Dados do Azure para PostgreSQL.
   Nome da Interface de Rede	O nome que você deseja atribuir à interface de rede associada ao ponto de extremidade privado.	Um nome exclusivo que identifica a interface de rede associada ao endpoint privado.
   Região	O nome de uma das regiões em que você pode criar endpoints privados para o servidor flexível do Banco de Dados do Azure para PostgreSQL.	A região selecionada deve corresponder à da rede virtual na qual você planeja implantar o ponto de extremidade privado.

6. Na página Recurso , preencha todos os detalhes necessários. Em seguida, selecione Avançar: Rede Virtual.

   

7. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Recurso e como diretrizes para preencher a página:

   Configurações	Valor sugerido	Description
   Tipo de recurso	Definir automaticamente como Microsoft.DBforPostgreSQL/flexibleServers	Esse valor é escolhido automaticamente para você e corresponde ao tipo de recurso que um servidor flexível do Banco de Dados do Azure para PostgreSQL é, aos olhos do Link Privado do Azure.
   Recurso	Definido automaticamente como o nome do servidor flexível do Banco de Dados do Azure para PostgreSQL, para o qual você está criando o ponto de extremidade privado.	O nome do recurso ao qual o ponto de extremidade privado se conecta.
   Sub-recurso de destino	Definido automaticamente como postgresqlServer.	O tipo de subrecurso para o recurso selecionado, ao qual seu ponto de extremidade privado pode acessar.

8. Na página Rede Virtual , preencha todos os detalhes necessários. Em seguida, selecione Avançar: DNS.

   

9. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página rede virtual e como diretrizes para preencher a página:

   Configurações	Valor sugerido	Description
   Rede virtual	Definido automaticamente como a primeira rede virtual (classificada em ordem alfabética) disponível na assinatura e na região selecionada.	Somente as redes virtuais nas quais você tem permissões, na assinatura e região selecionadas no momento, estão listadas.
   Sub-rede	Definido automaticamente como o nome do servidor flexível do Banco de Dados do Azure para PostgreSQL para o qual você está criando o ponto de extremidade privado.	Somente sub-redes na rede virtual selecionada no momento estão listadas.
   Política de rede para pontos de extremidade privados	Por padrão, as políticas de rede são desabilitadas para uma sub-rede em uma rede virtual. Você pode habilitar políticas de rede somente para grupos de segurança de rede, somente para rotas definidas pelo usuário ou para ambos.	Para usar políticas de rede, como rotas definidas pelo usuário e suporte a grupos de segurança de rede, o suporte à política de rede deve ser habilitado para a sub-rede. Essa configuração só se aplica a pontos de extremidade privados na sub-rede e afeta todos os pontos de extremidade privados na sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base em regras de segurança no grupo de segurança de rede. Para obter mais informações, confira Gerenciar políticas de rede para pontos de extremidade privados.
   Configuração de IP privado	Definir automaticamente para alocar dinamicamente um dos endereços IP disponíveis no intervalo atribuído à sub-rede selecionada.	Esse endereço IP é o atribuído à interface de rede associada ao ponto de extremidade privado. Ela pode ser alocada dinamicamente do intervalo atribuído à sub-rede selecionada ou você pode decidir qual endereço específico deseja atribuir a ela. Depois que o ponto de extremidade privado for criado, você não poderá alterar seu endereço IP, independentemente de quais dos dois modos de alocação você selecionar durante a criação.
   Grupo de segurança do aplicativo	Nenhum grupo de segurança de aplicativo é atribuído por padrão. Você pode escolher um existente ou pode criar um e atribuí-lo.	Os grupos de segurança de aplicativo permitem a você configurar a segurança de rede como uma extensão natural da estrutura de um aplicativo, permitindo o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Você pode reutilizar sua política de segurança em escala sem precisar manter endereços IP explícitos manualmente. A plataforma lida com a complexidade de endereços IP explícitos e vários conjuntos de regras, permitindo que você se concentre na lógica de negócios. Para obter mais informações, consulte Grupos de segurança do aplicativo.

10. Na página DNS , preencha todos os detalhes necessários. Em seguida, selecione Avançar: Tags.

    

11. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página DNS e como diretrizes para preencher a página:

    Configurações	Valor sugerido	Description
    Integrar com a zona DNS privada	Habilitado por padrão.	Selecione Sim se você quiser que seu ponto de extremidade privado seja integrado a uma zona DNS privada do Azure ou Não se quiser usar seus próprios servidores DNS ou se quiser resolver o nome do ponto de extremidade usando arquivos host nos computadores dos quais você deseja se conectar por meio do ponto de extremidade privado. Para obter mais informações, consulte a configuração de DNS do ponto de extremidade privado. Se você configurar a integração de zona DNS privada, a zona DNS privada será vinculada automaticamente à rede virtual na qual você cria o ponto de extremidade privado.
    Nome da configuração	Definido automaticamente para você privatelink-postgres-database-azure-com.	O nome atribuído à configuração DNS associada à zona DNS privada.
    Subscription	Selecione o nome da assinatura na qual você deseja criar a zona DNS privada. Ele seleciona automaticamente a assinatura na qual o servidor é implantado.	Uma assinatura é um contrato com a Microsoft para usar uma ou mais plataformas ou serviços de nuvem da Microsoft, para os quais as cobranças são acumuladas com base em uma taxa de licença por usuário ou no valor de recursos baseados na nuvem. Caso você tenha várias assinaturas, escolha a assinatura na qual você deseja receber a cobrança do recurso.
    Grupo de recursos	O grupo de recursos na assinatura selecionada, no qual você deseja criar a zona DNS privada. Deve ser um grupo de recursos existente. Ele seleciona automaticamente o grupo de recursos no qual o servidor é implantado.	Um grupo de recursos é um contêiner que mantém os recursos relacionados a uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Você decide como deseja alocar recursos para grupos de recursos com base no que faz mais sentido para sua organização. Em geral, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa implantá-los, atualizá-los e excluí-los facilmente como um grupo.
    Zona de DNS privado	Definido automaticamente para você em privatelink.postgres.database.azure.com.	Esse nome é aquele atribuído ao recurso de zona DNS privada.

12. Na página Marcas , preencha todos os detalhes necessários. Em seguida, selecione Avançar: Revisar + criar.

    

13. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Marcas e como orientação para preencher a página:

    Configurações	Valor sugerido	Description
    Nome	Deixe em branco.	Nome da marca que você deseja atribuir ao ponto de extremidade privado e à zona DNS privada (se você selecionou a integração de zona DNS privada na página DNS ).
    Valor	Deixe em branco.	Valor que você deseja atribuir à tag com o nome fornecido, e que também deseja atribuir ao seu ponto de extremidade privado e à sua zona DNS privada (se você selecionou a integração da zona DNS privada na página DNS).
    Recurso	Mantenha como padrão.	Você pode selecionar para quais recursos deseja atribuir a marca determinada. Pode ser o ponto de extremidade privado, a zona DNS privada (se você selecionou a integração de zona DNS privada na página DNS ) ou ambos.

14. Na página Revisar + criar , verifique se tudo está configurado como você deseja. Em seguida, selecione Criar.

    

15. Uma implantação é iniciada e você vê uma notificação quando a implantação é concluída.

    

CLI

Se você tiver as permissões necessárias para implantar um ponto de extremidade privado e aprovar a conexão de ponto de extremidade privado com seu servidor, poderá criar a conexão de ponto de extremidade privado por meio do comando az network private-endpoint create .

Para criar o ponto de extremidade privado e atribuir à sua interface de rede um endereço IP dinamicamente alocado do intervalo atribuído à subrede selecionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Para criar o ponto de extremidade privado e atribuir à sua interface de rede um endereço IP alocado estaticamente do intervalo atribuído à sub-rede selecionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Se você tiver as permissões necessárias, a conexão de ponto de extremidade privado deverá ser aprovada automaticamente. Se esse for o caso, a saída do comando a seguir mostrará status como Approved, e description como Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

O az network private-endpoint create cria uma privatelink.postgres.database.azure.com zona DNS privada, se ela não existir. E vincula a zona DNS privada à rede virtual na qual o ponto de extremidade privado é criado. No entanto, ele não cria um grupo de zona DNS no ponto de extremidade privado; se desejar, você pode integrar seu ponto de extremidade privado a uma zona DNS privada. Para fazer isso,

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Se você tentar criar o ponto de extremidade privado com um endereço IP privado alocado estaticamente e o endereço especificado já for usado por algum outro adaptador de rede, você receberá o seguinte erro:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Se você tentar criar o ponto de extremidade privado e a rede virtual referenciada pelos parâmetros --subscription, --resource-group e --vnet-name não existir. Ou se a rede virtual existir, mas a região na qual ela está implantada não corresponder à região na qual você está tentando implantar o ponto de extremidade privado, você receberá o seguinte erro:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Se você tentar criar o ponto de extremidade privado e um já existir com o mesmo nome, mas especificar um valor diferente para --connection-name ou para --vnet-name, você receberá o seguinte erro:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Se você tentar criar o ponto de extremidade privado e um já existir com o mesmo nome, mas especificar um valor diferente para --subnet, você receberá o seguinte erro:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Se você tentar criar o ponto de extremidade privado e um já existir com o mesmo nome, mas especificar um valor diferente para --location, você receberá o seguinte erro:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Conteúdo relacionado

• Rede.
• Permitir o acesso público.
• Desabilitar o acesso público.
• Adicionar as regras de firewall.
• Excluir as regras de firewall.
• Excluir as conexões do ponto de extremidade privado.
• Aprovar as conexões do ponto de extremidade privado.
• Rejeitar as conexões do ponto de extremidade privado.