Link Privado para o Banco de Dados do Azure para PostgreSQL - Servidor único

APLICA-SE A: Banco de Dados do Azure para PostgreSQL – Servidor Único

Importante

O Banco de Dados do Azure para PostgreSQL – Servidor Único está prestes a ser desativado. É altamente recomendável atualizar para o Banco de Dados do Azure para PostgreSQL – Servidor Flexível. Para obter mais informações sobre a migração para o Banco de Dados do Azure para PostgreSQL – Servidor Flexível, veja O que está acontecendo com o Banco de Dados do Azure para PostgreSQL Servidor único?.

O link privado permite criar pontos de extremidade privados para o Banco de Dados PostgreSQL do Azure - Servidor único a fim de trazê-lo para dentro da sua Rede Virtual (VNet). O ponto de extremidade privado expõe um IP privado em uma sub-rede que você pode usar para se conectar ao seu servidor de banco de dados, assim como qualquer outro recurso na VNet.

Para obter uma lista dos serviços de PaaS que permitem a funcionalidade do Link Privado, leia a documentação do Link Privado. Um ponto de extremidade privado é um endereço IP privado em uma VNET e sub-rede específicas.

Observação

O recurso de link privado está disponível apenas para servidores do Bancos de Dados do Azure para PostgreSQL nas camadas de preços de Uso geral ou Otimizado para Memória. Assegure-se de que o servidor de banco de dados esteja em um desses níveis de preços.

Prevenção contra exportação de dados

A exportação de dados no Banco de Dados do Azure para PostgreSQL ocorre quando um usuário autorizado, como um administrador de banco de dados, tem a capacidade de extrair dados de um sistema e movê-los para outra localização ou outro sistema fora da organização. Por exemplo, o usuário move os dados para uma conta de armazenamento pertencente a terceiros.

Considere um cenário com um usuário que executa o PGAdmin dentro de uma VM (máquina virtual) do Azure que está se conectando a um Banco de Dados do Azure para PostgreSQL - Servidor único provisionado no Oeste dos EUA. O exemplo abaixo mostra como limitar o acesso com pontos de extremidade públicos no servidor único do Banco de Dados do Azure para PostgreSQL usando controles de acesso à rede.

• Desabilite todo o tráfego de serviço do Azure para o Banco de Dados do Azure para PostgreSQL por meio do ponto de extremidade público. Para isso, configure Permitir Serviços do Azure como DESATIVADO. Certifique-se de que nenhum endereço IP ou intervalo tenha permissão para acessar o servidor por meio de regras de firewall ou pontos de extremidade de serviço de rede virtual.

• Só permita o tráfego para o Banco de Dados do Azure para PostgreSQL que usa o endereço IP privado da VM. Para obter mais informações, confira os artigos sobre o ponto de extremidade de serviço e as regras de firewall da VNet.

• Na VM do Azure, restrinja o escopo da conexão de saída usando NSGs (grupos de segurança de rede) e Marcas de Serviço, conforme mostrado a seguir

  • Especifique uma regra NSG para permitir tráfego para Tag de serviço = SQL.WestUS - só permitindo a conexão ao Banco de Dados do Azure para PostgreSQL no Oeste dos EUA
  • Especifique uma regra NSG (com uma prioridade mais alta) para negar o tráfego para a Tag de Serviço = SQL - negando as conexões com o Banco de Dados PostgreSQL em todas as regiões
    
    

Ao final desta configuração, a VM do Azure só poderá se conectar ao Banco de Dados do Azure para PostgreSQL - Servidor único na região Oeste dos EUA. No entanto, a conectividade não é restrita a um único Banco de Dados do Azure para PostgreSQL - Servidor único. A VM ainda pode se conectar a qualquer Banco de Dados do Azure para PostgreSQL - Servidor único na região Oeste dos EUA, incluindo os bancos de dados que não fazem parte da assinatura. Embora tenhamos reduzido o escopo da exportação de dados no cenário acima a uma região específica, não o eliminamos por completo.

Com o Link Privado, agora você pode configurar controles de acesso à rede, como NSGs, para restringir o acesso ao ponto de extremidade privado. Os recursos de PaaS individuais do Azure são então mapeados para pontos de extremidade privados específicos. Um usuário interno mal-intencionado só pode acessar o recurso de PaaS mapeado (por exemplo, um Banco de Dados do Azure para PostgreSQL - Servidor único) e nenhum outro recurso.

Conectividade local no emparelhamento privado

Quando você se conecta ao ponto de extremidade público a partir de computadores locais, seu endereço IP precisa ser adicionado ao firewall baseado em IP usando uma regra de firewall no nível de servidor. Embora esse modelo funcione bem para permitir o acesso a computadores individuais para cargas de trabalho de desenvolvimento ou teste, é difícil gerenciá-lo em um ambiente de produção.

Com o Link Privado, você pode habilitar o acesso entre instalações ao ponto de extremidade privado usando o Express Route (ER), o emparelhamento privado ou o túnel de VPN. Em seguida, eles poderão desabilitar todo o acesso por meio do ponto de extremidade público e não usar o firewall baseado em IP.

Observação

Em alguns casos, o Banco de Dados do Azure para PostgreSQL e a sub-rede da VNet estão em assinaturas diferentes. Nesses casos, você deve garantir as seguintes configurações:

• Verifique se as duas assinaturas têm o provedor de recursos Microsoft.DBforPostgreSQL registrado.

Configurar o Link Privado para o Banco de Dados do Azure para PostgreSQL - Servidor único

Processo de criação

Pontos de extremidade privados são necessários para habilitar o Link Privado. Isso pode ser feito usando os guias de instruções a seguir.

• Azure portal
• CLI

Processo de aprovação

Depois que o administrador de rede criar o ponto de extremidade privado (PE), o administrador do PostgreSQL poderá gerenciar a conexão do ponto de extremidade privado (PEC) com o Banco de Dados do Azure para PostgreSQL. Essa separação de tarefas entre o administrador de rede e o DBA é útil para o gerenciamento da conectividade do Banco de Dados do Azure para PostgreSQL.

• Navegue até o recurso do servidor do Banco de Dados do Azure para PostgreSQL no portal do Azure.
  • Selecione as conexões de ponto de extremidade privado no painel esquerdo
  • Mostra uma lista de todas as PECs (conexões de ponto de extremidade privado)
  • Ponto de extremidade privado correspondente (PE) criado

• Selecione uma PEC individual na lista selecionando-a.

• O administrador do servidor PostgreSQL pode optar por aprovar ou rejeitar uma PEC e, opcionalmente, adicionar uma resposta de texto curto.

• Após a aprovação ou a rejeição, a lista refletirá o estado apropriado junto com o texto de resposta

Casos de uso do Link Privado para o Banco de Dados do Azure para PostgreSQL

Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, da VNet emparelhada na mesma região ou por meio da conexão VNet a VNet nas regiões. Além disso, os clientes podem se conectar localmente usando o ExpressRoute, o emparelhamento privado ou o túnel de VPN. Veja abaixo um diagrama simplificado que mostra os casos de uso comuns.

Como se conectar por meio de uma VM do Azure na VNET (Rede Virtual) emparelhada

Configure o Emparelhamento VNet para estabelecer a conectividade com o Banco de Dados do Azure para PostgreSQL - Servidor único por meio de uma VM do Azure em uma VNet emparelhada.

Como se conectar por meio de uma VM do Azure no ambiente VNET a VNET

Configure a Conexão de gateway de VPN VNET a VNET para estabelecer a conectividade com um Banco de Dados do Azure para PostgreSQL - Servidor único por uma VM do Azure em uma região ou assinatura diferente.

Como se conectar por meio de um ambiente local pela VPN

Para estabelecer a conectividade de um ambiente local com o banco de dados no Banco de Dados do Azure para PostgreSQL - Servidor único, escolha e implemente uma das opções:

• Conexão ponto a site
• Conexão VPN site a site
• Circuito do ExpressRoute

Link Privado combinado com regras de firewall

As seguintes situações e resultados são possíveis quando você usa o Link Privado em combinação com regras de firewall:

• Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego será capaz de acessar o Banco de Dados do Azure para PostgreSQL - Servidor único.

• Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, os tipos diferentes de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.

• Se você não configurar nenhum tráfego público ou ponto de extremidade de serviço e criar pontos de extremidades privados, o Banco de Dados do Azure para PostgreSQL - Servidor único poderá ser acessado somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidades privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o Banco de Dados do Azure para PostgreSQL - Servidor único.

Negar acesso público para Banco de Dados do Azure para Postgre SQL - Servidor único

Se quiser usar apenas pontos de extremidade privados para acessar o servidor único do Banco de Dados do Azure para PostgreSQL deles, você poderá desabilitar a configuração de todos os pontos de extremidade públicos (regras de firewall e pontos de extremidade de serviço de VNet) definindo a configuração Negar acesso à rede pública no servidor e banco de dados.

Quando essa configuração é definida como SIM, somente as conexões por meio de pontos de extremidade privados são permitidas para o Banco de Dados do Azure para PostgreSQL. Quando essa configuração é definida como NÃO, os clientes podem se conectar ao Banco de Dados do Azure para PostgreSQL com base em suas configurações de firewall ou de ponto de extremidade de serviço da VNet. Além disso, quando o valor do acesso à rede privada estiver definido, os clientes não poderão adicionar e/ou atualizar as existentes “regras de firewall” e “regras de ponto de extremidade de serviço de VNet”.

Observação

Esse recurso está disponível em todas as regiões do Azure nas quais o Banco de Dados do Azure para PostgreSQL - Servidor único dá suporte aos tipos de preço "Uso Geral" e "Otimizado para Memória".

Essa configuração não tem nenhum impacto sobre as configurações de SSL e TLS para o Banco de Dados do Azure para PostgreSQL - Servidor único.

Para saber como definir a opção Negar acesso à rede pública para seu Banco de Dados do Azure para PostgreSQL - Servidor único do portal do Azure, consulte Como configurar a opção de negar acesso à rede pública.

Conteúdo relacionado

Para saber mais sobre os recursos de segurança do Banco de Dados do Azure para PostgreSQL - Servidor único, confira os seguintes artigos:

• Para configurar um firewall para um do Banco de Dados do Azure para PostgreSQL - Servidor único, consulte suporte a firewall.

• Para saber como configurar um ponto de extremidade de serviço de rede virtual para o Banco de Dados do Azure para PostgreSQL - Servidor único, confira Configurar o acesso de redes virtuais.

• Para obter uma visão geral da conectividade do Banco de Dados do Azure para PostgreSQL - Servidor único de servidor único, consulte Arquitetura de conectividade do Banco de Dados do Azure para PostgreSQL