PostgreSQL için Azure Veritabanı - Özel Bağlantı ile Esnek Sunucu ağı
Azure Özel Bağlantı, Sanal Ağ (sanal ağ) içine getirmek üzere esnek PostgreSQL için Azure Veritabanı sunucu için özel uç noktalar oluşturmanıza olanak tanır. Bu işlevsellik, şu anda PostgreSQL için Azure Veritabanı esnek sunucu ile genel kullanıma sunulan VNET Tümleştirmesi tarafından sağlanan mevcut ağ özelliklerine ek olarak sunulmuştur. Özel Bağlantı ile sanal ağınızla hizmet arasındaki trafik Microsoft omurga ağına gider. Hizmetinizi genel İnternet'te kullanıma açmak artık gerekli değildir. Sanal ağınızda kendi özel bağlantı hizmetinizi oluşturup müşterilerinize teslim edebilirsiniz. Azure Özel Bağlantı kullanılarak kurulum ve tüketim, Azure PaaS, müşteriye ait ve paylaşılan iş ortağı hizmetlerinde tutarlıdır.
Not
Özel Bağlantı yalnızca genel erişim ağına sahip sunucular için kullanılabilir. Özel erişimi olan sunucular (VNET tümleştirmesi) için oluşturulamaz.
Özel Bağlantı yalnızca bu özellik yayımlandıktan sonra oluşturulan sunucular için yapılandırılabilir. Özelliğin yayımlanmasından önce var olan herhangi bir sunucu Özel Bağlantı ile ayarlanamaz.
Özel Bağlantı iki Azure kaynak türü aracılığıyla kullanıcılara sunulur:
- Özel Uç Noktalar (Microsoft.Network/PrivateEndpoints)
- Özel Bağlantı Hizmetleri (Microsoft.Network/PrivateLinkServices)
Özel Uç Noktalar
Özel Uç Nokta, kaynağa sanal ağınızdan atanmış bir özel IP adresi (Sanal Ağ) sağlayan bir ağ arabirimi ekler. Uygulandıktan sonra, bu kaynakla yalnızca sanal ağ (VNET) üzerinden iletişim kurabilirsiniz. Özel Bağlantı işlevselliği destekleyen PaaS hizmetlerinin listesi için Özel Bağlantı belgelerini gözden geçirin. Özel uç nokta, belirli bir sanal ağ ve Alt Ağ içindeki özel bir IP adresidir.
Aynı genel hizmet örneğine, çakışan adres alanları olsa bile farklı sanal ağlarda/alt ağlarda birden çok özel uç nokta tarafından başvurulabilir.
Azure Özel Bağlantı Temel Avantajları
Azure Özel Bağlantı aşağıdaki avantajları sağlar:
Azure platformundaki hizmetlere özel erişim: Özel uç noktaları kullanarak sanal ağınızı Azure'da uygulama bileşeni olarak kullanılabilecek tüm hizmetlere bağlayın. Hizmet sağlayıcıları hizmetlerini kendi sanal ağlarında işleyebilir ve tüketiciler bu hizmetlere yerel sanal ağlarından erişebilir. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler.
Şirket içi ve eşlenmiş ağlar: Özel uç noktaları kullanarak ExpressRoute özel eşlemesi, VPN tünelleri ve eşlenmiş sanal ağlar üzerinden şirket içinden Azure'da çalışan hizmetlere erişin. Hizmete ulaşmak için ExpressRoute Microsoft eşlemesini yapılandırmaya veya İnternet'ten geçiş yapmaya gerek yoktur. Özel Bağlantı, iş yüklerini Azure'a geçirmek için güvenli bir yol sağlar.
Veri sızıntısına karşı koruma: Özel uç nokta, hizmetin tamamı yerine PaaS kaynağının bir örneğine eşlenir. Tüketiciler yalnızca belirli bir kaynağa bağlanabilir. Hizmetteki diğer kaynaklara erişim engellenir. Bu mekanizma, veri sızıntısı risklerine karşı koruma sağlar.
Genel erişim: Diğer bölgelerde çalışan hizmetlere özel olarak bağlanın. Tüketicinin sanal ağı A bölgesinde olabilir ve B bölgesindeki Özel Bağlantı arkasındaki hizmetlere bağlanabilir.
Esnek PostgreSQL için Azure Veritabanı sunucu ile Özel Bağlantı kullanım örnekleri
İstemciler aynı sanal ağdan, aynı bölgedeki eşlenmiş sanal ağdan veya bölgeler arasında sanal ağdan sanal ağa bağlantı yoluyla özel uç noktaya bağlanabilir. Ayrıca, istemciler ExpressRoute, özel eşleme veya VPN tüneli kullanarak şirket içinden bağlanabilir. Aşağıda yaygın kullanım örneklerini gösteren basitleştirilmiş bir diyagram yer almaktadır.
Esnek PostgreSQL için Azure Veritabanı sunucu ile Özel Bağlantı için Sınırlamalar ve Desteklenen Özellikler
Esnek PostgreSQL için Azure Veritabanı sunucuda Özel Uç Nokta için Özellikler Arası Kullanılabilirlik Matrisi.
| Özellik | Kullanılabilirlik | Notlar |
|---|---|---|
| Yüksek Kullanılabilirlik (HA) | Yes | Tasarlandığı gibi çalışır |
| Çoğaltmayı Oku | Yes | Tasarlandığı gibi çalışır |
| Sanal uç noktalarla Okuma Çoğaltması | Yes | Tasarlandığı gibi çalışır |
| Belirli Bir Noktaya Geri Yükleme (PITR) | Yes | Tasarlandığı gibi çalışır |
| Güvenlik duvarı kurallarıyla genel/İnternet erişimine de izin verme | Yes | Tasarlandığı gibi çalışır |
| Ana Sürüm Yükseltme (MVU) | Yes | Tasarlandığı gibi çalışır |
| Microsoft Entra Kimlik Doğrulaması (Entra Auth) | Yes | Tasarlandığı gibi çalışır |
| PGBouncer ile bağlantı havuzu oluşturma | Yes | Tasarlandığı gibi çalışır |
| Özel Uç Nokta DNS | Yes | Tasarlanmış ve belgelenmiş olarak çalışır |
| Müşteri Tarafından Yönetilen Anahtarlarla Şifreleme (CMK) | Yes | Tasarlandığı gibi çalışır |
Eşlenmiş Sanal Ağ bir Azure VM'sinden bağlanma
Eşlenmiş bir sanal ağdaki Azure VM'sinden PostgreSQL için Azure Veritabanı esnek sunucuya bağlantı kurmak için sanal ağ eşlemesini yapılandırın.
Sanal ağdan sanal ağa ortamda bir Azure VM'den bağlanma
Farklı bir bölgedeki veya abonelikteki Bir Azure VM'sinden PostgreSQL için Azure Veritabanı esnek sunucu örneğine bağlantı kurmak için Sanal Ağdan Sanal Ağa VPN ağ geçidi bağlantısını yapılandırın.
VPN üzerinden şirket içi bir ortamdan bağlanma
Şirket içi ortamdan PostgreSQL için Azure Veritabanı esnek sunucu örneğine bağlantı kurmak için seçeneklerden birini seçin ve uygulayın:
Ağ Güvenliği ve Özel Bağlantı
Özel uç noktaları kullandığınızda trafiğin güvenliği özel bağlantı kaynağına sağlanır. Platform, ağ bağlantılarını doğrulayarak yalnızca belirtilen özel bağlantı kaynağına ulaşan bağlantılara izin verir. Aynı Azure hizmetinde daha fazla alt kaynak erişmek için, karşılık gelen hedeflere sahip daha fazla özel uç nokta gerekir. Örneğin Azure Depolama söz konusu olduğunda, dosyaya ve blob alt kaynaklarına erişmek için ayrı özel uç noktalara ihtiyacınız olacaktır.
Özel uç noktalar , Azure hizmeti için özel olarak erişilebilir bir IP adresi sağlar, ancak genel ağ erişimini kısıtlamaz. Ancak diğer tüm Azure hizmetleri için başka bir erişim denetimi gerekir. Bu denetimler, kaynaklarınıza ek bir ağ güvenlik katmanı sağlar ve özel bağlantı kaynağıyla ilişkili Azure hizmetine erişimi önlemeye yardımcı olan koruma sağlar.
Özel uç noktalar, ağ ilkelerini destekler. Ağ ilkeleri; Ağ Güvenlik Grupları (NSG), Kullanıcı Tanımlı Yollar (UDR) ve Uygulama Güvenlik Grupları (ASG) desteği sağlar. Özel uç nokta için ağ ilkelerini etkinleştirme hakkında daha fazla bilgi edinmek üzere Özel uç noktalar için ağ ilkelerini yönetme sayfasına bakın. AsG'yi özel uç noktayla kullanmak için Özel uç nokta ile uygulama güvenlik grubu (ASG) yapılandırma bölümüne bakın.
Özel Bağlantı ve DNS
Özel uç nokta kullanırken aynı Azure hizmetine bağlanmanız ancak özel uç nokta IP adresini kullanmanız gerekir. Özel uç nokta bağlantısı, özel IP adresini kaynak adına çözümlemek için ayrı Etki Alanı Adı Sistemi (DNS) ayarları gerektirir. Özel DNS bölgeleri özel DNS çözümü olmayan bir sanal ağ içinde etki alanı adı çözümlemesi sağlar. Bu ağa DNS hizmetleri sağlamak için özel DNS bölgelerini her sanal ağa bağlarsınız.
Özel DNS bölgeleri, her Azure hizmeti için ayrı DNS bölgesi adları sağlar. Örneğin, önceki görüntüde depolama hesabı blob hizmeti için özel bir DNS bölgesi yapılandırdıysanız, DNS bölgeleri adı privatelink.blob.core.windows.net. Tüm Azure hizmetlerinin özel DNS bölgesi adlarını görmek için buradaki Microsoft belgelerine göz atın.
Not
Özel uç nokta özel DNS bölgesi yapılandırmaları yalnızca önerilen adlandırma düzenini kullanırsanız otomatik olarak oluşturulur: privatelink.postgres.database.azure.com Yeni sağlanan genel erişim (sanal ağ eklenmemiş) sunucularda geçici bir DNS düzeni değişikliği vardır. Sunucunun FQDN'si artık servername.privatelink.postgres.database.azure.com biçiminde A kaydına çözümlenen bir CName olacaktır. Yakın gelecekte bu biçim yalnızca sunucuda özel uç noktalar oluşturulduğunda geçerli olacaktır.
Azure ve şirket içi kaynaklar için karma DNS
Etki Alanı Adı Sistemi (DNS), genel giriş bölgesi mimarisinde kritik bir tasarım konusudur. Bazı kuruluşlar DNS'de mevcut yatırımlarını kullanmak, bazıları ise tüm DNS ihtiyaçları için yerel Azure özelliklerini benimsemek isteyebilir. Şirket içi ad çözümlemesi için Azure DNS Özel Çözümleyici hizmetini Azure Özel DNS Bölgeleri ile birlikte kullanabilirsiniz. DNS Özel Çözümleyicisi, DNS isteğini başka bir DNS sunucusuna iletebilir ve ayrıca istekleri iletmek için dış DNS sunucusu tarafından kullanılabilecek bir IP adresi sağlar. Bu nedenle dış şirket içi DNS sunucuları, özel dns bölgesinde bulunan adı çözümleyebiliyor.
DNS trafiğini Azure DNS'ye iletmek için Özel DNS Çözümleyici'yi şirket içi DNS ileticisi ile kullanma hakkında daha fazla bilgi için bu belgeye ve bu belgeye bakın. Açıklanan çözümler, Azure'daki kaynakları çözümlemek için zaten bir DNS çözümü olan şirket içi ağı genişletmeye olanak tanır. Microsoft mimarisi.
Merkez-uç ağ mimarilerinde Özel Bağlantı ve DNS tümleştirmesi
Özel DNS bölgeleri genellikle merkez sanal net'in dağıtıldığı azure aboneliğinde merkezi olarak barındırılır. Bu merkezi barındırma uygulaması, şirket içi dns ad çözümlemesi ve Active Directory gibi merkezi DNS çözümlemesi için diğer gereksinimler tarafından yönlendirilir. Çoğu durumda, yalnızca ağ ve kimlik yöneticilerinin bölgelerdeki DNS kayıtlarını yönetme izinleri vardır.
Bu mimaride aşağıdakiler yapılandırılır:
- Şirket içi DNS sunucularının her özel uç nokta genel DNS bölgesi için yapılandırılmış koşullu ileticileri vardır ve merkez sanal ağında barındırılan Özel DNS Çözümleyicisi'ne işaret eder.
- Merkez sanal akında barındırılan Özel DNS Çözümleyicisi, iletici olarak Azure tarafından sağlanan DNS'yi (168.63.129.16) kullanır.
- Hub sanal ağı, Azure hizmetlerinin Özel DNS bölge adlarına (PostgreSQL için Azure Veritabanı için privatelink.postgres.database.azure.com - Esnek Sunucu gibi) bağlanmalıdır.
- Tüm Azure sanal ağları, hub sanal asında barındırılan Özel DNS Çözümleyici'yi kullanır.
- Özel DNS Çözümleyicisi yalnızca bir iletici (örneğin Active Directory etki alanı adları) olduğundan, müşterinin kurumsal etki alanları için yetkili olmadığından, müşterinin şirket etki alanlarına giden uç nokta ileticileri olmalıdır ve bu tür bölgeler için yetkili olan şirket içi DNS Sunucularını veya Azure'da dağıtılan DNS sunucularını işaret etmelidir.
Özel Bağlantı ve Ağ Güvenlik Grupları
Varsayılan olarak, bir sanal ağdaki alt ağ için ağ ilkeleri devre dışı bırakılır. Kullanıcı Tanımlı Yollar ve Ağ Güvenlik Grupları desteği gibi ağ ilkelerini kullanmak için alt ağ için ağ ilkesi desteğinin etkinleştirilmesi gerekir. Bu ayar yalnızca alt ağ içindeki özel uç noktalar için geçerlidir. Bu ayar alt ağ içindeki tüm özel uç noktaları etkiler. Alt ağdaki diğer kaynaklar için erişim, ağ güvenlik grubundaki güvenlik kurallarına göre denetlenilir.
Ağ ilkeleri yalnızca Ağ Güvenlik Grupları için, yalnızca Kullanıcı Tanımlı Yollar için veya her ikisi için etkinleştirilebilir. Daha fazla bilgi için Bkz . Azure belgeleri
Ağ Güvenlik Grupları (NSG) ve Özel Uç Nokta sınırlamaları burada listelenmiştir
Önemli
Veri sızıntısına karşı koruma: Özel uç nokta, hizmetin tamamı yerine PaaS kaynağının bir örneğine eşlenir. Tüketiciler yalnızca belirli bir kaynağa bağlanabilir. Hizmetteki diğer kaynaklara erişim engellenir. Bu mekanizma, veri sızıntısı risklerine karşı temel koruma sağlar.
Güvenlik duvarı kurallarıyla birlikte Özel Bağlantı
Güvenlik duvarı kurallarıyla birlikte Özel Bağlantı kullandığınızda aşağıdaki durumlar ve sonuçlar mümkündür:
Herhangi bir güvenlik duvarı kuralı yapılandırmazsanız, varsayılan olarak hiçbir trafik PostgreSQL için Azure Veritabanı esnek sunucu örneğine erişemez.
Genel trafiği veya bir hizmet uç noktasını yapılandırıp özel uç noktalar oluşturursanız, ilgili güvenlik duvarı kuralı türüne göre farklı gelen trafik türleri yetkilendirilmiş olur.
Genel trafik veya hizmet uç noktası yapılandırmazsanız ve özel uç noktalar oluşturursanız, PostgreSQL için Azure Veritabanı esnek sunucu örneğine yalnızca özel uç noktalar üzerinden erişilebilir. Genel trafiği veya hizmet uç noktasını yapılandırmazsanız, onaylanan tüm özel uç noktalar reddedildikten veya silindikten sonra hiçbir trafik PostgreSQL için Azure Veritabanı esnek sunucu örneğine erişemez.
Özel Uç Nokta tabanlı ağ ile ilgili bağlantı sorunlarını giderme
Aşağıda, Özel Uç Nokta tabanlı ağ kullanarak bağlantı sorunları yaşanıp yaşamadığınızı denetlemeye yönelik temel alanlar yer almaktadır:
- IP Adresi Atamalarını Doğrulama: Özel uç noktanın doğru IP adresinin atandığından ve diğer kaynaklarla çakışma olmadığından emin olun. Özel uç nokta ve IP hakkında daha fazla bilgi için bu belgeyi inceleyin
- Ağ Güvenlik Gruplarını (NSG' ler) denetleyin: Gerekli trafiğe izin verildiğinden ve çakışan kurallara sahip olmadığından emin olmak için özel uç noktanın alt ağı için NSG kurallarını gözden geçirin. NSG hakkında daha fazla bilgi için bu belgeyi inceleyin
- Yönlendirme Tablosu Yapılandırmasını Doğrulama: Özel uç noktanın alt ağıyla ilişkili yol tablolarının ve bağlı kaynakların uygun yollarla doğru yapılandırıldığından emin olun.
- Ağ İzleme ve Tanılama'yı kullanma: Bağlantı İzleyicisi veya Paket Yakalama gibi araçları kullanarak ağ trafiğini izlemek ve tanılamak için Azure Ağ İzleyicisi'tan yararlanın. Ağ tanılama hakkında daha fazla bilgi için bu belgeyi inceleyin
Özel sorun gidermeyle ilgili diğer ayrıntılara bu kılavuzdan da ulaşabilirsiniz
Özel Uç Nokta tabanlı ağ ile DNS çözümleme sorunlarını giderme
Aşağıda, Özel Uç Nokta tabanlı ağ kullanarak DNS çözümleme sorunları yaşanıp yaşamadığınızı denetlemeye yönelik temel alanlar yer almaktadır:
- DNS Çözümlemesini Doğrulama: Özel uç nokta ve bağlı kaynaklar tarafından kullanılan DNS sunucusunun veya hizmetinin düzgün çalıştığını denetleyin. Özel uç noktanın DNS ayarlarının doğru olduğundan emin olun. Özel uç noktalar ve DNS bölgesi ayarları hakkında daha fazla bilgi için bu belgeyi inceleyin
- DNS Önbelleğini Temizle: En son DNS bilgilerinin alındığından emin olmak ve tutarsız hatalardan kaçınmak için özel uç nokta veya istemci makinesindeki DNS önbelleğini temizleyin.
- DNS Günlüklerini Analiz Etme: DNS sorgu hataları, sunucu hataları veya zaman aşımları gibi hata iletileri veya olağan dışı desenler için DNS günlüklerini gözden geçirin. DNS ölçümleri hakkında daha fazla bilgi için bu belgeyi görün
Sonraki adımlar
- Azure portalında veya Azure CLI'da Özel erişim (VNet tümleştirmesi) seçeneğini kullanarak PostgreSQL için Azure Veritabanı esnek bir sunucu örneği oluşturmayı öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin