Private Link för Azure Database for PostgreSQL–enskild server

GÄLLER FÖR: Azure Database for PostgreSQL – enskild server

Viktigt!

Azure Database for PostgreSQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for PostgreSQL – flexibel server. Mer information om hur du migrerar till Azure Database for PostgreSQL – flexibel server finns i Vad händer med Azure Database for PostgreSQL – enskild server?.

Med Private Link kan du skapa privata slutpunkter för Azure Database for PostgreSQL – enskild server för att ta den in i ditt virtuella nätverk (VNet). Den privata slutpunkten exponerar en privat IP-adress i ett undernät som du kan använda för att ansluta till databasservern precis som andra resurser i det virtuella nätverket.

En lista över PaaS-tjänster som stöder Private Link-funktioner finns i Private Link-dokumentationen. En privat slutpunkt är en privat IP-adress inom ett specifikt virtuellt nätverk och undernät.

Kommentar

Funktionen privat länk är endast tillgänglig för Azure Database for PostgreSQL-servrar på prisnivåerna Generell användning eller Minnesoptimerad. Kontrollera att databasservern finns på någon av dessa prisnivåer.

Dataexfiltreringsskydd

Dataexfiltrering i Azure Database for PostgreSQL – enskild server är när en behörig användare, till exempel databasadministratör, kan extrahera data från ett system och flytta dem till en annan plats eller ett annat system utanför organisationen. Användaren flyttar till exempel data till ett lagringskonto som ägs av en tredje part.

Överväg ett scenario med en användare som kör PGAdmin i en virtuell Azure-dator (VM) som ansluter till en Azure Database for PostgreSQL – enskild server som etableras i USA, västra. Exemplet nedan visar hur du begränsar åtkomsten med offentliga slutpunkter i Azure Database for PostgreSQL – enskild server med hjälp av nätverksåtkomstkontroller.

• Inaktivera all Azure-tjänsttrafik till Azure Database for PostgreSQL – enskild server via den offentliga slutpunkten genom att ange Tillåt Azure-tjänster till AV. Se till att inga IP-adresser eller intervall tillåts komma åt servern, antingen via brandväggsregler eller tjänstslutpunkter för virtuella nätverk.

• Tillåt endast trafik till Azure Database for PostgreSQL – enskild server med hjälp av den virtuella datorns privata IP-adress. Mer information finns i artiklarna om brandväggsregler för tjänstslutpunkter och virtuella nätverk.

• På den virtuella Azure-datorn begränsar du omfattningen för utgående anslutning med hjälp av nätverkssäkerhetsgrupper (NSG:er) och tjänsttaggar enligt följande

  • Ange en NSG-regel för att tillåta trafik för Service Tag = SQL. WestUS – tillåter endast anslutning till Azure Database for PostgreSQL – enskild server i USA, västra
  • Ange en NSG-regel (med högre prioritet) för att neka trafik för Service Tag = SQL – neka anslutningar till PostgreSQL Database i alla regioner
    
    

I slutet av den här installationen kan den virtuella Azure-datorn endast ansluta till Azure Database for PostgreSQL – enskild server i regionen USA, västra. Anslutningen är dock inte begränsad till en enda Azure Database for PostgreSQL – enskild server. Den virtuella datorn kan fortfarande ansluta till valfri Azure Database for PostgreSQL – enskild server i regionen USA, västra, inklusive de databaser som inte ingår i prenumerationen. Även om vi har minskat omfattningen för dataexfiltrering i scenariot ovan till en viss region har vi inte eliminerat den helt.

Med Private Link kan du nu konfigurera nätverksåtkomstkontroller som NSG:er för att begränsa åtkomsten till den privata slutpunkten. Enskilda Azure PaaS-resurser mappas sedan till specifika privata slutpunkter. En obehörig insider kan bara komma åt den mappade PaaS-resursen (till exempel en Azure Database for PostgreSQL – enskild server) och ingen annan resurs.

Lokal anslutning via privat peering

När du ansluter till den offentliga slutpunkten från lokala datorer måste din IP-adress läggas till i den IP-baserade brandväggen med hjälp av en brandväggsregel på servernivå. Den här modellen fungerar bra för att ge åtkomst till enskilda datorer för utvecklings- eller testarbetsbelastningar, men det är svårt att hantera i en produktionsmiljö.

Med Private Link kan du aktivera åtkomst mellan platser till den privata slutpunkten med Express Route (ER), privat peering eller VPN-tunnel. De kan därefter inaktivera all åtkomst via den offentliga slutpunkten och inte använda den IP-baserade brandväggen.

Kommentar

I vissa fall finns Azure Database for PostgreSQL och VNet-undernätet i olika prenumerationer. I dessa fall måste du se till att följande konfigurationer:

• Kontrollera att både prenumerationen har Microsoft.DBforPostgreSQL-resursprovidern registrerad.

Konfigurera Private Link för Azure Database for PostgreSQL – enskild server

Skapandeprocess

Privata slutpunkter krävs för att aktivera Private Link. Detta kan göras med hjälp av följande instruktionsguider.

• Azure-portalen
• CLI

Godkännandeprocess

När nätverksadministratören har skapat den privata slutpunkten (PE) kan PostgreSQL-administratören hantera den privata slutpunktens Anslut ion (PEC) till Azure Database for PostgreSQL. Den här uppdelningen av uppgifter mellan nätverksadministratören och DBA är till hjälp för hanteringen av Azure Database for PostgreSQL-anslutningen.

• Gå till Azure Database for PostgreSQL-serverresursen i Azure-portalen.
  • Välj privata slutpunktsanslutningar i den vänstra rutan
  • Visar en lista över alla privata slutpunkts-Anslut ioner (PEC)
  • Motsvarande privata slutpunkt (PE) har skapats

• Välj en enskild PEC i listan genom att välja den.

• PostgreSQL-serveradministratören kan välja att godkänna eller avvisa en PEC och eventuellt lägga till ett kort textsvar.

• Efter godkännande eller avvisande återspeglar listan lämpligt tillstånd tillsammans med svarstexten

Användningsfall för Private Link för Azure Database for PostgreSQL

Klienter kan ansluta till den privata slutpunkten från samma virtuella nätverk, peer-kopplade virtuella nätverk i samma region eller mellan regioner eller via VNet-till-VNet-anslutning mellan regioner. Dessutom kan klienter ansluta lokalt med ExpressRoute, privat peering eller VPN-tunneltrafik. Nedan visas ett förenklat diagram som visar vanliga användningsfall.

Anslut från en virtuell Azure-dator i peer-kopplat virtuellt nätverk (VNet)

Konfigurera VNet-peering för att upprätta anslutning till Azure Database for PostgreSQL – enskild server från en virtuell Azure-dator i ett peer-kopplat virtuellt nätverk.

Anslut från en virtuell Azure-dator i VNet-till-VNet-miljö

Konfigurera VPN-gatewayanslutning mellan virtuella nätverk för att upprätta anslutning till en Azure Database for PostgreSQL – enskild server från en virtuell Azure-dator i en annan region eller prenumeration.

Anslut från en lokal miljö via VPN

Om du vill upprätta anslutning från en lokal miljö till Azure Database for PostgreSQL – enskild server väljer du och implementerar något av alternativen:

• Punkt-till-plats-anslutning
• Plats-till-plats-anslutning via VPN
• ExpressRoute-krets

Använda Private Link med brandväggsregler

Följande situationer och resultat är möjliga när du använder Private Link i kombination med brandväggsregler:

• Om du inte konfigurerar några brandväggsregler kan ingen trafik som standard komma åt Azure Database for PostgreSQL – enskild server.

• Om du konfigurerar offentlig trafik eller en tjänstslutpunkt och skapar privata slutpunkter, auktoriseras olika typer av inkommande trafik av motsvarande typ av brandväggsregel.

• Om du inte konfigurerar någon offentlig trafik eller tjänstslutpunkt och du skapar privata slutpunkter är Azure Database for PostgreSQL – enskild server endast tillgänglig via de privata slutpunkterna. Om du inte konfigurerar offentlig trafik eller en tjänstslutpunkt kommer ingen trafik att kunna komma åt Azure Database for PostgreSQL – enskild server när alla godkända privata slutpunkter har avvisats eller tagits bort.

Neka offentlig åtkomst för Azure Database for PostgreSQL – enskild server

Om du bara vill förlita dig på privata slutpunkter för åtkomst till deras Azure Database for PostgreSQL – enskild server kan du inaktivera inställningen av alla offentliga slutpunkter (brandväggsregler och VNet-tjänstslutpunkter) genom att ange konfigurationen Neka offentlig nätverksåtkomst på databasservern.

När den här inställningen är inställd på JA tillåts endast anslutningar via privata slutpunkter till din Azure Database for PostgreSQL. När den här inställningen är inställd på NO-klienter kan ansluta till din Azure Database for PostgreSQL baserat på din brandväggs- eller VNet-tjänstslutpunktsinställning. När värdet för åtkomsten till det privata nätverket har angetts kan kunderna dessutom inte lägga till och/eller uppdatera befintliga "brandväggsregler" och "VNet-tjänstslutpunktsregler".

Kommentar

Den här funktionen är tillgänglig i alla Azure-regioner där Azure Database for PostgreSQL – enskild server stöder prisnivåer för generell användning och minnesoptimerad.

Den här inställningen påverkar inte SSL- och TLS-konfigurationerna för din Azure Database for PostgreSQL – enskild server.

Mer information om hur du anger Neka åtkomst till offentligt nätverk för din Azure Database for PostgreSQL – enskild server från Azure-portalen finns i Konfigurera Neka åtkomst till offentligt nätverk.

Relaterat innehåll

Mer information om säkerhetsfunktioner för Azure Database for PostgreSQL – enskild server finns i följande artiklar:

• Information om hur du konfigurerar en brandvägg för Azure Database for PostgreSQL – enskild server finns i Brandväggsstöd.

• Information om hur du konfigurerar en tjänstslutpunkt för virtuellt nätverk för din Azure Database for PostgreSQL – enskild server finns i Konfigurera åtkomst från virtuella nätverk.

• En översikt över Azure Database for PostgreSQL– enskild serveranslutning finns i Azure Database for PostgreSQL Anslut ivity Architecture