Banco de Dados do Azure para PostgreSQL - Rede de servidor flexível com link privado
O Azure Private Link permite que você crie pontos de extremidade privados para o Banco de Dados do Azure para o servidor flexível PostgreSQL para trazê-lo para dentro de sua Rede Virtual (rede virtual). Essa funcionalidade é introduzida além dos recursos de rede já existentes fornecidos pela Integração VNET, que atualmente está em disponibilidade geral com o Banco de Dados do Azure para o servidor flexível PostgreSQL. Com o Private Link, o tráfego entre a sua rede virtual e o serviço percorre a rede de backbone da Microsoft. Expor o seu serviço à Internet pública já não é necessário. Pode criar o seu próprio serviço de ligação privada na sua rede virtual e fornecê-lo aos seus clientes. A configuração e o consumo através do Azure Private Link são consistentes em todos os serviços de PaaS do Azure, de propriedade do cliente e de parceiros partilhados.
O Link Privado é exposto aos usuários por meio de dois tipos de recursos do Azure:
- Pontos de extremidade privados (Microsoft.Network/PrivateEndpoints)
- Serviços de Link Privado (Microsoft.Network/PrivateLinkServices)
Pontos Finais Privados
Um Ponto Final Privado adiciona uma interface de rede a um recurso, fornecendo-lhe um endereço IP privado atribuído a partir da sua VNET (Rede Virtual). Uma vez aplicado, você pode se comunicar com este recurso exclusivamente através da rede virtual (VNET). Para obter uma lista dos serviços PaaS que suportam a funcionalidade Private Link, consulte a documentação do Private Link. Um ponto de extremidade privado é um endereço IP privado dentro de uma VNet e sub-rede específicas.
A mesma instância de serviço público pode ser referenciada por vários pontos de extremidade privados em diferentes VNets/sub-redes, mesmo que tenham espaços de endereço sobrepostos.
Principais benefícios do Azure Private Link
O Azure Private Link fornece os seguintes benefícios:
Serviços de acesso privado na plataforma Azure: conecte sua rede virtual usando pontos de extremidade privados a todos os serviços que podem ser usados como componentes de aplicativo no Azure. Os prestadores de serviços podem prestar os seus serviços na sua própria rede virtual e os consumidores podem aceder a esses serviços na sua rede virtual local. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure.
Redes locais e emparelhadas: aceda a serviços em execução no Azure a partir do local através de emparelhamento privado da Rota Expressa, túneis VPN e redes virtuais emparelhadas utilizando pontos de extremidade privados. Não há necessidade de configurar o emparelhamento Microsoft ExpressRoute ou atravessar a Internet para chegar ao serviço. O Private Link fornece uma maneira segura de migrar cargas de trabalho para o Azure.
Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço está bloqueado. Este mecanismo fornece proteção contra riscos de fuga de dados.
Alcance global: conecte-se de forma privada a serviços executados em outras regiões. A rede virtual do consumidor pode estar na região A e pode se conectar a serviços por trás do Private Link na região B.
Casos de uso para Link Privado com o Banco de Dados do Azure para servidor flexível PostgreSQL
Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, VNet emparelhada na mesma região ou entre regiões, ou via conexão VNet-to-VNet entre regiões. Além disso, os clientes podem se conectar localmente usando a Rota Expressa, emparelhamento privado ou túnel VPN. Abaixo está um diagrama simplificado mostrando os casos de uso comuns.
Limitações e recursos suportados para link privado com o banco de dados do Azure para servidor flexível PostgreSQL
Matriz de disponibilidade entre recursos para ponto de extremidade privado no banco de dados do Azure para servidor flexível PostgreSQL.
| Funcionalidade | Disponibilidade | Notas |
|---|---|---|
| Elevada Disponibilidade (HA) | Sim | Funciona como projetado |
| Réplica de Leitura | Sim | Funciona como projetado |
| Réplica de leitura com pontos de extremidade virtuais | Sim | Funciona como projetado |
| Restauro para um Ponto Anterior no Tempo (PITR) | Sim | Funciona como projetado |
| Permitir também o acesso público/à Internet com regras de firewall | Sim | Funciona como projetado |
| Atualização da versão principal (MVU) | Sim | Funciona como projetado |
| Autenticação do Microsoft Entra (Entra Auth) | Sim | Funciona como projetado |
| Pool de conexões com PGBouncer | Sim | Funciona como projetado |
| DNS de ponto de extremidade privado | Sim | Funciona conforme projetado e documentado |
| Criptografia com chaves gerenciadas pelo cliente (CMK) | Sim | Funciona como projetado |
Conectar-se a partir de uma VM do Azure na Rede Virtual Emparelhada
Configure o emparelhamento de rede virtual para estabelecer conectividade com o Banco de Dados do Azure para servidor flexível PostgreSQL a partir de uma VM do Azure em uma rede virtual emparelhada.
Conectar-se a partir de uma VM do Azure no ambiente VNet-to-VNet
Configure a conexão de gateway VPN VNet-to-VNet para estabelecer conectividade com uma instância de servidor flexível do Banco de Dados do Azure para PostgreSQL a partir de uma VM do Azure em uma região ou assinatura diferente.
Conecte-se a partir de um ambiente local por VPN
Para estabelecer a conectividade de um ambiente local com a instância flexível do servidor do Banco de Dados do Azure para PostgreSQL, escolha e implemente uma das opções:
Segurança de Rede e Link Privado
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso de link privado. A plataforma valida conexões de rede, permitindo apenas as conexões que alcançam o recurso de link privado especificado. Para acessar mais subrecursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com destinos correspondentes. No caso do Armazenamento do Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os subrecursos de arquivo e blob.
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não restringem necessariamente o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem outros controles de acesso. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os pontos finais privados suportam políticas de rede. As políticas de rede permitem o suporte para Grupos de Segurança de Rede (NSG), Rotas Definidas pelo Utilizador (UDR) e Grupos de Segurança de Aplicações (ASG). Para obter mais informações sobre como ativar políticas de rede para um ponto final privado, veja Gerir políticas de rede para pontos finais privados. Para utilizar um ASG com um ponto final privado, veja Configurar um grupo de segurança de aplicações (ASG) com um ponto final privado.
Link privado e DNS
Ao usar um ponto de extremidade privado, você precisa se conectar ao mesmo serviço do Azure, mas usar o endereço IP do ponto de extremidade privado. A conexão de ponto de extremidade íntima requer configurações de DNS (Sistema de Nomes de Domínio) separadas para resolver o endereço IP privado para o nome do recurso. As zonas DNS privadas fornecem resolução de nomes de domínio dentro de uma rede virtual sem uma solução DNS personalizada. Você vincula as zonas DNS privadas a cada rede virtual para fornecer serviços DNS a essa rede.
As zonas DNS privadas fornecem nomes de zona DNS separados para cada serviço do Azure. Por exemplo, se você configurou uma zona DNS privada para o serviço de blob da conta de armazenamento na imagem anterior, o nome das zonas DNS será privatelink.blob.core.windows.net. Consulte a documentação da Microsoft aqui para ver mais nomes de zonas DNS privadas para todos os serviços do Azure.
Nota
As configurações de zona DNS privada de ponto de extremidade privado só serão geradas automaticamente se você usar o esquema de nomenclatura recomendado: privatelink.postgres.database.azure.com Em servidores de acesso público recém-provisionados (não injetados em VNET), há uma alteração temporária no layout do DNS. O FQDN do servidor passará a ser um CName, resolvendo para um registro, no formato servername.privatelink.postgres.database.azure.com. Num futuro próximo, este formato aplicar-se-á apenas quando forem criados pontos de extremidade privados no servidor.
DNS híbrido para Azure e recursos locais
O Sistema de Nomes de Domínio (DNS) é um tópico de design crítico na arquitetura geral da zona de destino. Algumas organizações podem querer usar seus investimentos existentes em DNS, enquanto outras podem querer adotar recursos nativos do Azure para todas as suas necessidades de DNS. Você pode usar o serviço Resolvedor Privado de DNS do Azure em conjunto com as Zonas DNS Privadas do Azure para resolução de nomes entre locais. O DNS Private Resolver pode encaminhar a solicitação DNS para outro servidor DNS e também fornece um endereço IP que pode ser usado pelo servidor DNS externo para encaminhar solicitações. Assim, os servidores DNS externos locais são capazes de resolver o nome localizado em uma zona DNS privada.
Para obter mais informações sobre como usar o Resolvedor de DNS Privado com o encaminhador DNS local para encaminhar o tráfego DNS para o DNS do Azure, consulte este documento, bem como este documento . As soluções descritas permitem estender a rede local que já tem uma solução DNS para resolver recursos no Azure. Arquitetura Microsoft.
Integração de Link Privado e DNS em arquiteturas de rede hub e spoke
As zonas DNS privadas normalmente são hospedadas centralmente na mesma assinatura do Azure em que a VNet de hub é implantada. Essa prática de hospedagem central é impulsionada pela resolução de nomes DNS entre locais e outras necessidades de resolução DNS central, como o Ative Directory. Na maioria dos casos, apenas os administradores de rede e identidade têm permissões para gerenciar registros DNS nas zonas.
Em tal arquitetura é configurado o seguinte:
- Os servidores DNS locais têm encaminhadores condicionais configurados para cada zona DNS pública de ponto de extremidade privada, apontando para o Resolvedor de DNS Privado hospedado na VNet do hub.
- O Resolvedor de DNS Privado hospedado na VNet do hub usa o DNS fornecido pelo Azure (168.63.129.16) como um encaminhador.
- A VNet do hub deve estar vinculada aos nomes de zona DNS privado para serviços do Azure (como privatelink.postgres.database.azure.com, para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível).
- Todas as VNets do Azure usam o Private DNS Resolver hospedado na VNet do hub.
- Como o Resolvedor de DNS Privado não é autoritativo para domínios corporativos do cliente, pois é apenas um encaminhador (por exemplo, nomes de domínio do Ative Directory), ele deve ter encaminhadores de ponto de extremidade de saída para os domínios corporativos do cliente, apontando para os Servidores DNS locais ou servidores DNS implantados no Azure que são autorizados para essas zonas.
Link privado e grupos de segurança de rede
Por padrão, as diretivas de rede são desabilitadas para uma sub-rede em uma rede virtual. Para utilizar políticas de rede, como o suporte a Rotas Definidas pelo Usuário e Grupos de Segurança de Rede, o suporte à diretiva de rede deve ser habilitado para a sub-rede. Essa configuração só é aplicável a pontos de extremidade privados dentro da sub-rede. Essa configuração afeta todos os pontos de extremidade privados dentro da sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base em regras de segurança no grupo de segurança de rede.
As diretivas de rede podem ser habilitadas somente para Grupos de Segurança de Rede, somente para Rotas Definidas pelo Usuário ou para ambos. Para mais informações, pode ver os documentos do Azure
As limitações para Grupos de Segurança de Rede (NSG) e Pontos de Extremidade Privados estão listadas aqui
Importante
Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço está bloqueado. Este mecanismo fornece proteção básica contra riscos de vazamento de dados.
Private Link combinado com regras da firewall
As seguintes situações e resultados são possíveis quando você usa o Private Link em combinação com regras de firewall:
Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego poderá acessar a instância flexível do servidor do Banco de Dados do Azure para PostgreSQL.
Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, diferentes tipos de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.
Se você não configurar nenhum ponto de extremidade de serviço ou tráfego público e criar pontos de extremidade privados, a instância flexível do servidor do Banco de Dados do Azure para PostgreSQL estará acessível somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidade privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar a instância flexível do servidor do Banco de Dados do Azure para PostgreSQL.
Solução de problemas de conectividade com rede baseada em ponto final privado
A seguir estão as áreas básicas para verificar se você está tendo problemas de conectividade usando a rede baseada em Ponto Final Privado:
- Verificar atribuições de endereços IP: verifique se o ponto de extremidade privado tem o endereço IP correto atribuído e se não há conflitos com outros recursos. Para obter mais informações sobre ponto de extremidade privado e IP, consulte este documento
- Verifique os NSGs (Grupos de Segurança de Rede): revise as regras do NSG para a sub-rede do ponto de extremidade privado para garantir que o tráfego necessário seja permitido e não tenha regras conflitantes. Para obter mais informações sobre o NSG, consulte este documento
- Validar configuração da tabela de rotas: verifique se as tabelas de rotas associadas à sub-rede do ponto de extremidade privado e os recursos conectados estão configurados corretamente com as rotas apropriadas.
- Usar Monitoramento e Diagnóstico de Rede: aproveite o Observador de Rede do Azure para monitorar e diagnosticar o tráfego de rede usando ferramentas como o Monitor de Conexão ou a Captura de Pacotes. Para obter mais informações sobre diagnóstico de rede, consulte este documento
Mais detalhes sobre a solução de problemas particulares também estão disponíveis neste guia
Solução de problemas de resolução de DNS com rede baseada em ponto final privado
A seguir estão as áreas básicas para verificar se você está tendo problemas de resolução de DNS usando a rede baseada em Ponto Final Privado:
- Validar resolução de DNS: verifique se o servidor DNS ou serviço usado pelo ponto de extremidade privado e os recursos conectados estão funcionando corretamente. Verifique se as configurações de DNS do ponto de extremidade privado estão precisas. Para obter mais informações sobre pontos de extremidade privados e configurações de zona DNS, consulte este documento
- Limpar cache DNS: limpe o cache DNS no ponto de extremidade privado ou na máquina cliente para garantir que as informações DNS mais recentes sejam recuperadas e evitar erros inconsistentes.
- Analisar logs DNS: revise os logs DNS em busca de mensagens de erro ou padrões incomuns, como falhas de consulta DNS, erros de servidor ou tempos limites. Para obter mais informações sobre métricas de DNS, consulte este documento