Private Link pro jednoúčelový server Azure Database for PostgreSQL

  • Článek

PLATÍ PRO: Azure Database for PostgreSQL – Jednoúčelový server

Důležité

Jednoúčelový server Azure Database for PostgreSQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for PostgreSQL. Další informace o migraci na flexibilní server Azure Database for PostgreSQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for PostgreSQL?

S využitím služby Private Link můžete vytvořit privátní koncové body pro jednoúčelový server Azure Database for PostgreSQL a přenést ho tak do vaší virtuální sítě. Privátní koncový bod zpřístupní v rámci podsítě privátní IP adresu, pomocí které se můžete připojit ke svému databázovému serveru stejně jako k jakémukoli jinému prostředku ve virtuální síti.

Seznam služeb PaaS, které podporují funkce služby Private Link, najdete v dokumentaci ke službě Private Link. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě.

Poznámka:

Funkce privátního propojení je dostupná jenom pro servery Azure Database for PostgreSQL na cenových úrovních Pro obecné účely nebo Optimalizováno pro paměť. Ujistěte se, že databázový server je v některé z těchto cenových úrovní.

Prevence exfiltrace dat

Filtrace exfiltrace dat na jednoúčelovém serveru Azure Database for PostgreSQL je v případě, že autorizovaný uživatel, například správce databáze, dokáže extrahovat data z jednoho systému a přesunout je do jiného umístění nebo systému mimo organizaci. Uživatel například přesune data do účtu úložiště vlastněného třetí stranou.

Představte si scénář s uživatelem, na kterém běží PG Správa uvnitř virtuálního počítače Azure, který se připojuje k jednoúčelovém serveru Azure Database for PostgreSQL zřízenému v oblasti USA – západ. Následující příklad ukazuje, jak omezit přístup s veřejnými koncovými body na jednoúčelovém serveru Azure Database for PostgreSQL pomocí řízení přístupu k síti.

  • Zakažte veškerý provoz služby Azure do jednoúčelového serveru Azure Database for PostgreSQL přes veřejný koncový bod nastavením Povolit službám Azure vypnuto. Zajistěte, aby k serveru neměly přístup žádné IP adresy ani rozsahy prostřednictvím pravidel brány firewall nebo koncových bodů služby virtuální sítě.

  • Povolte provoz jenom na jednoúčelový server Azure Database for PostgreSQL pomocí privátní IP adresy virtuálního počítače. Další informace najdete v článcích o pravidlech brány firewall koncového bodu služby a virtuální sítě.

  • Na virtuálním počítači Azure zpřesníte rozsah odchozího připojení pomocí skupin zabezpečení sítě (NSG) a značek služeb následujícím způsobem:

    • Zadejte pravidlo NSG, které povolí provoz pro značku služby = SQL. WestUS – povolení připojení pouze k jednoúčelovém serveru Azure Database for PostgreSQL v oblasti USA – západ
    • Zadejte pravidlo NSG (s vyšší prioritou) pro odepření provozu pro značku služby = SQL – odepření připojení ke službě PostgreSQL Database ve všech oblastech.

Na konci tohoto nastavení se virtuální počítač Azure může připojit pouze k jednoúčelovém serveru Azure Database for PostgreSQL v oblasti USA – západ. Připojení ale není omezeno na jeden jedno jednoúčelový server Azure Database for PostgreSQL. Virtuální počítač se stále může připojit k libovolnému jednoúčelovém serveru Azure Database for PostgreSQL v oblasti USA – západ, včetně databází, které nejsou součástí předplatného. I když jsme omezili rozsah exfiltrace dat ve výše uvedeném scénáři na konkrétní oblast, úplně jsme ho neodstranili.

Pomocí služby Private Link teď můžete nastavit řízení přístupu k síti, jako jsou skupiny zabezpečení sítě, a omezit tak přístup k privátnímu koncovému bodu. Jednotlivé prostředky Azure PaaS se pak mapují na konkrétní privátní koncové body. Člen programu Insider se zlými úmysly má přístup jenom k mapovanému prostředku PaaS (například jednoúčelový server Azure Database for PostgreSQL) a žádný jiný prostředek.

Místní připojení přes privátní partnerský vztah

Když se připojíte k veřejnému koncovému bodu z místních počítačů, musí se vaše IP adresa přidat do brány firewall založené na PROTOKOLU IP pomocí pravidla brány firewall na úrovni serveru. I když tento model funguje dobře pro povolení přístupu k jednotlivým počítačům pro vývojové nebo testovací úlohy, je obtížné je spravovat v produkčním prostředí.

Pomocí služby Private Link můžete povolit přístup mezi místy k privátnímu koncovému bodu pomocí Express Route (ER), privátního partnerského vztahu nebo tunelu VPN. Následně můžou zakázat veškerý přístup přes veřejný koncový bod a nepoužívat bránu firewall založenou na PROTOKOLU IP.

Poznámka:

V některých případech se azure Database for PostgreSQL a podsíť virtuální sítě nacházejí v různých předplatných. V těchto případech musíte zajistit následující konfigurace:

  • Ujistěte se, že je v předplatném zaregistrovaný poskytovatel prostředků Microsoft.DBforPostgreSQL .

Proces vytvoření

K povolení služby Private Link se vyžadují privátní koncové body. Můžete to provést pomocí následujících návodů.

Proces schválení

Jakmile správce sítě vytvoří privátní koncový bod (PE), může správce PostgreSQL spravovat privátní koncový bod Připojení ion (PEC) do služby Azure Database for PostgreSQL. Toto oddělení povinností mezi správcem sítě a DBA je užitečné pro správu připojení Azure Database for PostgreSQL.

  • Na webu Azure Portal přejděte k prostředku serveru Azure Database for PostgreSQL.
    • Výběr připojení privátního koncového bodu v levém podokně
    • Zobrazuje seznam všech Připojení privátních koncových bodů (PEC).
    • Vytvořil se odpovídající privátní koncový bod (PE)

výběr portálu privátního koncového bodu

  • Vyberte jednotlivou pec ze seznamu tak, že ji vyberete.

výběr privátního koncového bodu čekajícího na schválení

  • Správce serveru PostgreSQL se může rozhodnout schválit nebo odmítnout pec a volitelně přidat krátkou textovou odpověď.

výběr zprávy privátního koncového bodu

  • Po schválení nebo zamítnutí bude seznam odrážet odpovídající stav spolu s textem odpovědi.

vyberte konečný stav privátního koncového bodu.

Klienti se můžou připojit k privátnímu koncovému bodu ze stejné virtuální sítě, partnerské virtuální sítě ve stejné oblasti nebo napříč oblastmi nebo prostřednictvím připojení typu VNet-to-VNet napříč oblastmi. Klienti se navíc můžou připojit z místního prostředí pomocí ExpressRoute, privátního partnerského vztahu nebo tunelového propojení VPN. Níže je zjednodušený diagram znázorňující běžné případy použití.

výběr přehledu privátního koncového bodu

Připojení z virtuálního počítače Azure v partnerské virtuální síti (VNet)

Nakonfigurujte VNet Peering pro navázání připojení k jednoúčelovém serveru Azure Database for PostgreSQL z virtuálního počítače Azure v partnerské virtuální síti.

Připojení z virtuálního počítače Azure v prostředí VNet-to-VNet

Nakonfigurujte připojení brány VPN typu VNet-to-VNet pro navázání připojení k jednoúčelovém serveru Azure Database for PostgreSQL z virtuálního počítače Azure v jiné oblasti nebo předplatném.

Připojení z místního prostředí přes síť VPN

Pokud chcete navázat připojení z místního prostředí k jednoúčelovém serveru Azure Database for PostgreSQL, zvolte a implementujte jednu z těchto možností:

Při použití služby Private Link v kombinaci s pravidly brány firewall jsou možné následující situace a výsledky:

  • Pokud nenakonfigurujete žádná pravidla brány firewall, ve výchozím nastavení nebude mít žádný provoz přístup k jednoúčelovém serveru Azure Database for PostgreSQL.

  • Pokud nakonfigurujete veřejný provoz nebo koncový bod služby a vytvoříte privátní koncové body, budou různé typy příchozího provozu autorizované odpovídajícím typem pravidla brány firewall.

  • Pokud nenakonfigurujete žádný veřejný provoz nebo koncový bod služby a vytvoříte privátní koncové body, bude jednoúčelový server Azure Database for PostgreSQL přístupný jenom prostřednictvím privátních koncových bodů. Pokud nekonfigurujete veřejný provoz ani koncový bod služby, po zamítnutí nebo odstranění všech schválených privátních koncových bodů nebude mít žádný provoz přístup k jednoúčelovém serveru Azure Database for PostgreSQL.

Odepření veřejného přístupu pro jednoúčelový server Azure Database for PostgreSQL

Pokud chcete pro přístup k jednoúčelovým serveru Azure Database for PostgreSQL spoléhat jenom na privátní koncové body, můžete zakázat nastavení všech veřejných koncových bodů (pravidel brány firewall a koncových bodů služby virtuální sítě) nastavením konfigurace odepření přístupu k veřejné síti na databázovém serveru.

Pokud je toto nastavení nastaveno na ANO , mají k vaší službě Azure Database for PostgreSQL povoleno pouze připojení prostřednictvím privátních koncových bodů. Pokud je toto nastavení nastavené na NE , můžou se klienti připojit k vaší službě Azure Database for PostgreSQL na základě nastavení brány firewall nebo koncového bodu služby virtuální sítě. Po nastavení hodnoty přístupu k privátní síti navíc zákazníci nemůžou přidat nebo aktualizovat stávající pravidla brány firewall a pravidla koncového bodu služby virtuální sítě.

Poznámka:

Tato funkce je dostupná ve všech oblastech Azure, kde Azure Database for PostgreSQL – Single server podporuje cenové úrovně Pro obecné účely a Optimalizováno pro paměť.

Toto nastavení nemá žádný vliv na konfigurace SSL a TLS pro jednoúčelový server Azure Database for PostgreSQL.

Informace o tom, jak nastavit přístup k veřejné síti pro jednoúčelový server Azure Database for PostgreSQL z webu Azure Portal, najdete v tématu Postup konfigurace odepření přístupu k veřejné síti.

Související obsah

Další informace o funkcích zabezpečení jednoúčelového serveru Azure Database for PostgreSQL najdete v následujících článcích: