Pravidla brány firewall na jednoúčelovém serveru Azure Database for PostgreSQL

PLATÍ PRO: Azure Database for PostgreSQL – Jednoúčelový server

Důležité

Jednoúčelový server Azure Database for PostgreSQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for PostgreSQL. Další informace o migraci na flexibilní server Azure Database for PostgreSQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for PostgreSQL?

Server Azure Database for PostgreSQL je ve výchozím nastavení zabezpečený a brání veškerému přístupu k vašemu databázovému serveru, dokud nezadáte, kteří hostitelé IP adres k němu mají povolený přístup. Brána firewall uděluje přístup k serveru v závislosti na zdrojové IP adrese každého požadavku. Bránu firewall nakonfigurujete tak, že vytvoříte pravidla brány firewall určující rozsahy přípustných IP adres. Pravidla firewallu můžete vytvořit na úrovni serveru.

Pravidla brány firewall: Tato pravidla umožňují klientům přístup k celému serveru Azure Database for PostgreSQL, tj. ke všem databázím na stejném logickém serveru. Pravidla brány firewall na úrovni serveru je možné nakonfigurovat pomocí webu Azure Portal nebo pomocí příkazů Azure CLI. Pokud chcete vytvořit pravidla brány firewall na úrovni serveru, musíte být vlastníkem nebo přispěvatelem předplatného.

Přehled brány firewall

Brána firewall ve výchozím nastavení blokuje veškerý přístup k vašemu serveru Azure Database for PostgreSQL. Pokud chcete získat přístup k serveru z jiného počítače nebo klienta nebo aplikace, musíte zadat jedno nebo více pravidel brány firewall na úrovni serveru, která povolí přístup k serveru. Pomocí pravidel brány firewall určete povolené rozsahy veřejných IP adres. Pravidla brány firewall nemají vliv na přístup k samotnému webu Azure Portal. Připojení pokusy o připojení z internetu a Azure musí nejprve projít bránou firewall, než se dostanou do vaší databáze PostgreSQL, jak je znázorněno v následujícím diagramu:

Připojení z Internetu

Pravidla brány firewall na úrovni serveru platí pro všechny databáze na stejném serveru Azure Database for PostgreSQL. Pokud zdrojová IP adresa požadavku spadá do jednoho z rozsahů zadaných v pravidlech brány firewall na úrovni serveru, je připojení uděleno jinak se odmítne. Pokud se například vaše aplikace připojuje k ovladači JDBC pro PostgreSQL, může dojít k této chybě při pokusu o připojení, když brána firewall blokuje připojení.

java.util.concurrent.ExecutionException: java.lang.RuntimeException: org.postgresql.util.PSQLException: ZÁVAŽNÁ CHYBA: Žádná položka pg_hba.conf pro hostitele 123.45.67.890, uživatel adminuser, databáze postgresql, SSL

Poznámka:

Pokud chcete získat přístup ke službě Azure Database for PostgreSQL z místního počítače, ujistěte se, že brána firewall ve vaší síti a místním počítači umožňuje odchozí komunikaci na portu TCP 5432.

Připojení z Azure

Doporučujeme najít odchozí IP adresu jakékoli aplikace nebo služby a explicitně povolit přístup k těmto jednotlivým IP adresám nebo rozsahům. Můžete například najít odchozí IP adresu služby Aplikace Azure nebo použít veřejnou IP adresu svázanou s virtuálním počítačem nebo jiným prostředkem (viz níže informace o připojení k privátní IP adrese virtuálního počítače přes koncové body služby).

Pokud pro vaši službu Azure není dostupná pevná odchozí IP adresa, můžete zvážit povolení připojení ze všech IP adres datacentra Azure. Toto nastavení je možné povolit na webu Azure Portal nastavením možnosti Povolit přístup ke službám Azure z podokna zabezpečení Připojení ion a stisknutím klávesy Uložit. Nastavení pravidla brány firewall s počáteční a koncovou adresou rovnající se hodnotě 0.0.0.0 z Azure CLI odpovídá. Pokud je pokus o připojení odmítnut pravidly brány firewall, nedostane se k serveru Azure Database for PostgreSQL.

Důležité

Možností Povolit přístup ke službám Azure se brána firewall nakonfiguruje tak, aby povolovala všechna připojení z Azure, včetně připojení z předplatných ostatních zákazníků. Když vyberete tuto možnost, ujistěte se, že vaše přihlašovací a uživatelská oprávnění omezují přístup jenom na autorizované uživatele.

Připojení z virtuální sítě

Pokud se chcete bezpečně připojit k serveru Azure Database for PostgreSQL z virtuální sítě, zvažte použití koncových bodů služeb virtuální sítě.

Programová správa pravidel brány firewall

Kromě webu Azure Portal je možné pravidla brány firewall spravovat prostřednictvím kódu programu pomocí Azure CLI. Viz také Vytvoření a správa pravidel brány firewall služby Azure Database for PostgreSQL pomocí Azure CLI

Řešení potíží s bránou firewall

Pokud se přístup ke službě Microsoft Azure Database for PostgreSQL Server nechová podle očekávání, zvažte následující body:

• Změny seznamu povolených změn se ještě neprojevily: Změny v konfiguraci brány firewall serveru Azure Database for PostgreSQL se můžou projevit až za pět minut.

• Přihlášení není autorizované nebo se použilo nesprávné heslo: Pokud přihlášení nemá oprávnění k serveru Azure Database for PostgreSQL nebo je použité heslo nesprávné, připojení k serveru Azure Database for PostgreSQL se odepře. Vytvoření nastavení brány firewall poskytuje klientům příležitost se pokusit se připojit k serveru. každý klient musí stále poskytovat nezbytné přihlašovací údaje zabezpečení.

  Například při použití klienta JDBC se může zobrazit následující chyba.

  java.util.concurrent.ExecutionException: java.lang.RuntimeException: org.postgresql.util.PSQLException: ZÁVAŽNÁ CHYBA: Ověření hesla pro uživatele "název_uživatele" selhalo

• Dynamická IP adresa: Pokud vaše internetové připojení používá dynamické přidělování IP adres a máte problémy dostat se přes bránu firewall, můžete zkusit jedno z následujících řešení:

  • Požádejte poskytovatele internetových služeb o rozsah IP adres přiřazený klientským počítačům, které přistupí k serveru Azure Database for PostgreSQL, a pak přidejte rozsah IP adres jako pravidlo brány firewall.

  • Získejte místo toho statické IP adresy pro klientské počítače a pak přidejte statickou IP adresu jako pravidlo brány firewall.

• Zdá se, že IP adresa serveru je veřejná: Připojení iony na server Azure Database for PostgreSQL se směrují přes veřejně přístupnou bránu Azure. Skutečná IP adresa serveru je však chráněná bránou firewall. Další informace najdete v článku věnovaném architektuře připojení.

• Nejde se připojit z prostředku Azure s povolenou IP adresou: Zkontrolujte, jestli je pro podsíť, ze které se připojujete, povolený koncový bod služby Microsoft.Sql . Pokud je povolená služba Microsoft.Sql , znamená to, že v této podsíti chcete používat pouze pravidla koncového bodu služby virtuální sítě.

  Pokud se například připojujete z virtuálního počítače Azure v podsíti s povolenou službou Microsoft.Sql, ale nemá žádné odpovídající pravidlo virtuální sítě, může se zobrazit následující chyba:FATAL: Client from Azure Virtual Networks is not allowed to access the server

• Pravidlo brány firewall není dostupné pro formát IPv6: Pravidla brány firewall musí být ve formátu IPv4. Pokud zadáte pravidla brány firewall ve formátu IPv6, zobrazí se chyba ověření.

Další kroky

• Vytvoření a správa pravidel brány firewall služby Azure Database for PostgreSQL pomocí webu Azure Portal
• Vytvoření a správa pravidel brány firewall služby Azure Database for PostgreSQL pomocí Azure CLI
• Koncové body služeb virtuální sítě ve službě Azure Database for PostgreSQL