Adicionar conexões de ponto de extremidade privado

Azure Database for PostgreSQL flexible server é um serviço Azure Private Link. Isto significa que pode criar endpoints privados para que as suas aplicações clientes se conectem de forma privada e segura ao seu servidor flexível Azure Database for PostgreSQL.

Um endpoint privado para o seu servidor flexível do Azure Database for PostgreSQL é uma interface de rede que pode ser injetada numa sub-rede de uma rede virtual do Azure. Qualquer host ou serviço que consiga encaminhar o tráfego de rede para essa sub-rede consegue comunicar com o seu servidor flexível para que o tráfego de rede não tenha de atravessar a internet. Todo o tráfego é enviado de forma privada usando o backbone da Microsoft.

Para mais informações sobre Azure Private Link e Azure Private Endpoint, consulte as perguntas frequentes do Azure Private Link.

Portal

Usando o portal do Azure:

1. Selecione o seu servidor flexível do Azure Database for PostgreSQL.

2. No menu de recursos, selecione Networking.

   

3. Se tiver as permissões necessárias para implementar um endpoint privado, pode criá-lo selecionando Criar endpoint privado.

   

Observação

Para saber mais sobre as permissões necessárias para implementar um endpoint privado, consulte permissões Azure RBAC para Azure Private Link.

4. Na página de Fundamentos , preencha todos os detalhes necessários. Depois, selecione Próximo: Recurso.

   

5. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Noções básicas e como orientação para preencher a página:

   Configuração	Valor sugerido	Description
   Subscription	Selecione o nome da assinatura na qual você deseja criar o recurso. Seleciona automaticamente a subscrição em que o seu servidor está implementado.	Uma subscrição é um contrato com a Microsoft para utilizar uma ou mais plataformas ou serviços na nuvem da Microsoft, para os quais são cobrados encargos com base numa taxa de licença por utilizador ou no consumo de recursos baseado na nuvem. Se tiver várias subscrições, escolha a subscrição na qual pretende ser cobrado pelo recurso.
   Grupo de recursos	O grupo de recursos na subscrição selecionada, onde pretende criar o endpoint privado. Pode ser um grupo de recursos existente ou você pode selecionar Criar novo e fornecer um nome nessa assinatura que seja exclusivo entre os nomes de grupo de recursos existentes. Seleciona automaticamente o grupo de recursos onde o seu servidor está implantado.	Um grupo de recursos é um contêiner que contém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Você decide como deseja alocar recursos para grupos de recursos com base no que faz mais sentido para sua organização. Geralmente, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa implantá-los, atualizá-los e excluí-los facilmente como um grupo.
   Nome	O nome que queres atribuir ao endpoint privado.	Um nome único que identifica o endpoint privado através do qual se pode ligar ao servidor flexível do Azure Database for PostgreSQL.
   Nome da interface de rede	O nome que queres atribuir à interface de rede associada ao endpoint privado.	Um nome único que identifica a interface de rede associada ao endpoint privado.
   Região	O nome de uma das regiões onde pode criar endpoints privados para o Servidor Flexível do Azure Database for PostgreSQL.	A região que seleciona deve corresponder à da rede virtual onde planeia implantar o endpoint privado.

6. Na página de Recursos , preencha todos os detalhes necessários. Depois, selecione Próximo: Rede Virtual.

   

7. Use a tabela seguinte para compreender o significado dos diferentes campos disponíveis na página de Recursos e como orientação para preencher a página:

   Configuração	Valor sugerido	Description
   Tipo de recurso	Definido automaticamente como Microsoft.DBforPostgreSQL/flexibleServers	Este valor é escolhido automaticamente para si e corresponde ao tipo de recurso que um servidor flexível Azure Database for PostgreSQL é, aos olhos do Azure Private Link.
   Recurso	Define automaticamente o nome do Azure Database para o servidor flexível PostgreSQL para o qual estás a criar o endpoint privado.	O nome do recurso ao qual o endpoint privado se liga.
   Subrecurso de destino	Definido automaticamente para postgresqlServer.	O tipo de subrecurso para o recurso selecionado, ao qual o seu endpoint privado consegue aceder.

8. Na página da Rede Virtual , preencha todos os detalhes necessários. Depois, selecione Próximo: DNS.

   

9. Use a tabela seguinte para compreender o significado dos diferentes campos disponíveis na página da Rede Virtual e como orientação para preencher a página:

   Configuração	Valor sugerido	Description
   Rede virtual	Definido automaticamente para a primeira rede virtual (ordenada por ordem alfabética) disponível na subscrição e região selecionadas.	Apenas as redes virtuais nas quais tem permissões, na subscrição e região atualmente selecionadas, estão listadas.
   Subnet	Define automaticamente o nome do Azure Database para o servidor flexível PostgreSQL para o qual estás a criar o endpoint privado.	Apenas as sub-redes na rede virtual atualmente selecionada são listadas.
   Política de rede para terminais privados	Por padrão, as diretivas de rede são desabilitadas para uma sub-rede em uma rede virtual. Pode ativar políticas de rede apenas para grupos de segurança de rede, apenas para rotas definidas pelo utilizador, ou para ambos.	Para usar políticas de rede como rotas definidas pelo utilizador e suporte a grupos de segurança de rede, o suporte a políticas de rede deve estar ativado para a subrede. Esta configuração aplica-se apenas a endpoints privados na sub-rede e afeta todos os endpoints privados na sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base nas regras de segurança do grupo de segurança de rede. Para obter mais informações, consulte Gerir políticas de rede para endpoints privados.
   Configuração de IP privado	Definido automaticamente para alocar dinamicamente um dos endereços IP disponíveis no intervalo atribuído à sub-rede selecionada.	Este endereço IP é o atribuído à interface de rede associada ao endpoint privado. Pode ser alocado dinamicamente a partir do intervalo atribuído à sub-rede selecionada, ou pode decidir qual endereço específico deseja atribuir ao mesmo. Depois de criado o endpoint privado, não podes alterar o seu endereço IP, independentemente de qual dos dois modos de alocação escolheres durante a criação.
   Grupo de segurança de aplicações	Nenhum grupo de segurança de aplicações é atribuído por defeito. Podes escolher um existente, ou podes criar um e atribuí-lo.	Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos. A plataforma lida com a complexidade de endereços IP explícitos e múltiplos conjuntos de regras, permitindo-lhe focar-se na lógica do seu negócio. Para mais informações, consulte Grupos de Segurança de Aplicações.

10. Na página DNS , preencha todos os dados necessários. Depois, selecione Próximo: Etiquetas.

    

11. Use a tabela seguinte para compreender o significado dos diferentes campos disponíveis na página DNS e como orientação para preencher a página:

    Configuração	Valor sugerido	Description
    Integração com zona DNS privada	Ativado por padrão.	Selecione Sim se quiser que o seu endpoint privado esteja integrado com uma zona DNS privada Azure, ou Não se quiser usar os seus próprios servidores DNS, ou se quiser resolver o nome do endpoint usando ficheiros host nas máquinas a partir das quais pretende ligar-se através do endpoint privado. Para mais informações, consulte Configuração DNS de endpoint privado. Se configurares a integração da zona DNS privada, a zona DNS privada é automaticamente ligada à rede virtual onde crias o endpoint privado.
    Nome da configuração	Configurado automaticamente para si para privatelink-postgres-database-azure-com.	O nome atribuído à configuração DNS que está associada à zona DNS privada.
    Subscription	Selecione o nome da subscrição onde pretende criar a zona DNS privada. Seleciona automaticamente a subscrição em que o seu servidor está implementado.	Uma subscrição é um contrato com a Microsoft para utilizar uma ou mais plataformas ou serviços na nuvem da Microsoft, para os quais são cobrados encargos com base numa taxa de licença por utilizador ou no consumo de recursos baseado na nuvem. Se tiver várias subscrições, escolha a subscrição na qual pretende ser cobrado pelo recurso.
    Grupo de recursos	O grupo de recursos na subscrição selecionada, onde quer criar a zona DNS privada. Deve ser um grupo de recursos já existente. Seleciona automaticamente o grupo de recursos onde o seu servidor está implantado.	Um grupo de recursos é um contêiner que contém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo. Você decide como deseja alocar recursos para grupos de recursos com base no que faz mais sentido para sua organização. Geralmente, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa implantá-los, atualizá-los e excluí-los facilmente como um grupo.
    Zona DNS Privado	Definido automaticamente para privatelink.postgres.database.azure.com.	Este nome é o atribuído ao recurso privado da zona DNS.

12. Na página de Etiquetas , preencha todos os detalhes necessários. Depois, selecione Próximo: Rever + criar.

    

13. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Tags e como orientação para preencher a página:

    Configuração	Valor sugerido	Description
    Nome	Deixe vazio.	Nome da etiqueta que queres atribuir ao teu endpoint privado e à zona DNS privada (se selecionaste a integração da zona DNS privada na página DNS ).
    Value	Deixe vazio.	Valor que queres atribuir à etiqueta com o nome próprio, e que queres atribuir ao teu endpoint privado e zona DNS privada (se selecionaste integração com zona DNS privada na página DNS ).
    Recurso	Deixar por padrão.	Podes escolher a que recursos queres associar a etiqueta. Pode ser o endpoint privado, a zona DNS privada (se selecionaste a integração da zona DNS privada na página DNS ), ou ambos.

14. Na página Avaliar + criar , certifique-se de que tudo está configurado como queria. Em seguida, selecione Criar.

    

15. É iniciada uma implantação e recebe uma notificação quando a implementação termina.

    

CLI

Se tiver as permissões necessárias para implementar um endpoint privado e aprovar a ligação de endpoint privado ao seu servidor, pode criar a ligação ao endpoint privado através do comando az network private-endpoint create.

Para criar o endpoint privado e atribuir à sua interface de rede um endereço IP alocado dinamicamente a partir do intervalo atribuído à sub-rede selecionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Para criar o endpoint privado e atribuir à sua interface de rede um endereço IP alocado estaticamente a partir do intervalo atribuído à sub-rede selecionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Se tivesse as permissões necessárias, a ligação ao endpoint privado deveria ser aprovada automaticamente. Se for esse o caso, a saída do comando seguinte mostraria status como Approved, e description como Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Cria az network private-endpoint create uma privatelink.postgres.database.azure.com zona DNS privada, caso esta não exista. E liga a zona DNS privada à rede virtual onde o endpoint privado é criado. No entanto, não cria um grupo de zonas DNS no endpoint privado. Se quiseres, podes integrar o teu endpoint privado com uma zona DNS privada. Para tal,

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Se tentar criar o endpoint privado com um endereço IP privado alocado estaticamente, e o endereço especificado já for usado por outra interface de rede, obtém o seguinte erro:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Se tentares criar o endpoint privado e a rede virtual referenciada através dos parâmetros --subscription, --resource-group e --vnet-name não existir. Ou, se a rede virtual existir, mas a região onde está implantada não corresponder à região onde está a tentar implementar o endpoint privado, recebe o seguinte erro:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Caso tente criar o endpoint privado e já exista um com o mesmo nome, mas especifique um valor diferente para --connection-name ou para --vnet-name, receberá o seguinte erro:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Se tentar criar o endpoint privado e já existir um com o mesmo nome, mas especificar um valor diferente para --subnet, receberá o seguinte erro:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Se tentar criar o endpoint privado e já existir um com o mesmo nome, mas especificar um valor diferente para --location, receberá a seguinte mensagem de erro:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Conteúdo relacionado

• Redes de contato.
• Habilite o acesso público.
• Desative o acesso público.
• Adicione regras de firewall.
• Exclua regras de firewall.
• Exclua conexões de ponto de extremidade privadas.
• Aprovar conexões de ponto de extremidade privadas.
• Rejeitar conexões de ponto de extremidade privadas.