Share via

Azure Database for PostgreSQL – Sítě flexibilního serveru s využitím služby Private Link

  • Článek

Azure Private Link umožňuje vytvářet privátní koncové body pro flexibilní server Azure Database for PostgreSQL, abyste je mohli přenést do virtuální sítě (virtuální sítě). Tato funkce se zavádí kromě již existujících síťových funkcí poskytovaných integrací virtuální sítě, která je aktuálně obecně dostupná s flexibilním serverem Azure Database for PostgreSQL. Díky službě Private Link provoz mezi vaší virtuální sítí a službou prochází páteřní sítí Microsoftu. Vystavení služby veřejnému internetu už není nutné. Můžete si vytvořit vlastní službu privátního propojení ve své virtuální síti a doručovat ji vašim zákazníkům. Nastavení a spotřeba s využitím služby Azure Private Link je konzistentní napříč prostředím Azure PaaS, službami vlastněnými zákazníky a sdílenými partnerskými službami.

Služba Private Link je uživatelům přístupná prostřednictvím dvou typů prostředků Azure:

  • Privátní koncové body (Microsoft.Network/PrivateEndpoints)
  • Služby Private Link (Microsoft.Network/PrivateLinkServices)

Privátní koncové body

Privátní koncový bod přidá do prostředku síťové rozhraní, které mu poskytne privátní IP adresu přiřazenou z vaší virtuální sítě (Virtual Network). Po použití můžete s tímto prostředkem komunikovat výhradně prostřednictvím virtuální sítě. Seznam služeb PaaS, které podporují funkce služby Private Link, najdete v dokumentaci ke službě Private Link. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě.

Na stejnou instanci veřejné služby může odkazovat několik privátních koncových bodů v různých virtuálních sítích nebo podsítích, i když se překrývají adresní prostory.

Azure Private Link nabízí následující výhody:

  • Privátní přístup ke službám na platformě Azure: Připojení virtuální síť pomocí privátních koncových bodů ke všem službám, které je možné použít jako komponenty aplikací v Azure. Poskytovatelé služeb můžou své služby vykreslit ve své vlastní virtuální síti a uživatelé mají k těmto službám přístup ve své místní virtuální síti. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure.

  • Místní a partnerské sítě: Přístup ke službám běžícím v Azure z místního prostředí přes privátní partnerský vztah ExpressRoute, tunely VPN a partnerské virtuální sítě pomocí privátních koncových bodů Pro připojení ke službě není potřeba konfigurovat partnerský vztah ExpressRoute Microsoftu ani procházet internetem. Private Link poskytuje bezpečný způsob migrace úloh do Azure.

  • Ochrana před únikem dat: Privátní koncový bod je mapován na instanci prostředku PaaS místo celé služby. Uživatelé se můžou připojit pouze ke konkrétnímu prostředku. Přístup k jakémukoli jinému prostředku ve službě je zablokovaný. Tento mechanismus poskytuje ochranu před riziky úniku dat.

  • Globální dosah: Připojení soukromě ke službám běžícím v jiných oblastech. Virtuální síť příjemce může být v oblasti A a může se připojit ke službám za službou Private Link v oblasti B.

Klienti se můžou připojit k privátnímu koncovému bodu ze stejné virtuální sítě, partnerské virtuální sítě ve stejné oblasti nebo napříč oblastmi nebo prostřednictvím připojení typu VNet-to-VNet napříč oblastmi. Klienti se navíc můžou připojit z místního prostředí pomocí ExpressRoute, privátního partnerského vztahu nebo tunelového propojení VPN. Níže je zjednodušený diagram znázorňující běžné případy použití.

Diagram znázorňující, jak Azure Private Link funguje s privátními koncovými body

Omezení a podporované funkce pro Private Link s flexibilním serverem Azure Database for PostgreSQL

Matice dostupnosti napříč funkcemi pro privátní koncový bod na flexibilním serveru Azure Database for PostgreSQL

Funkce Dostupnost Poznámky
Vysoká dostupnost Ano Funguje jako navržená
Replika pro čtení Ano Funguje jako navržená
Replika pro čtení s virtuálními koncovými body Ano Funguje jako navržená
Obnovení k určitému bodu v čase (PITR) Ano Funguje jako navržená
Povolení veřejného nebo internetového přístupu pomocí pravidel brány firewall Ano Funguje jako navržená
Upgrade hlavní verze (MVU) Ano Funguje jako navržená
Ověřování Microsoft Entra (Entra Auth) Ano Funguje jako navržená
Připojení sdružování pomocí PGBouncer Ano Funguje jako navržená
DNS privátního koncového bodu Ano Funguje jako navržená a zdokumentovaná
Šifrování pomocí klíčů spravovaných zákazníkem (CMK) Ano Funguje jako navržená

Připojení z virtuálního počítače Azure v partnerské virtuální síti

Nakonfigurujte partnerský vztah virtuálních sítí pro navázání připojení k flexibilnímu serveru Azure Database for PostgreSQL z virtuálního počítače Azure v partnerské virtuální síti.

Připojení z virtuálního počítače Azure v prostředí VNet-to-VNet

Nakonfigurujte připojení brány VPN typu VNet-to-VNet k navázání připojení k instanci flexibilního serveru Azure Database for PostgreSQL z virtuálního počítače Azure v jiné oblasti nebo předplatném.

Připojení z místního prostředí přes SÍŤ VPN

Pokud chcete navázat připojení z místního prostředí k instanci flexibilního serveru Azure Database for PostgreSQL, zvolte a implementujte jednu z těchto možností:

Když používáte privátní koncové body, provoz je zabezpečený pro prostředek privátního propojení. Platforma ověřuje síťová připojení, což umožňuje pouze ta připojení, která se dostanou k zadanému prostředku privátního propojení. Pro přístup k více podsourcům ve stejné službě Azure se vyžaduje více privátních koncových bodů s odpovídajícími cíli. V případě Azure Storage byste například potřebovali samostatné privátní koncové body pro přístup k souboru a podsourcům objektů blob.

Privátní koncové body poskytují privátní IP adresu pro službu Azure, ale nemusí k ní nutně omezovat přístup k veřejné síti. Všechny ostatní služby Azure ale vyžadují další řízení přístupu. Tyto ovládací prvky poskytují vašim prostředkům další vrstvu zabezpečení sítě, která pomáhá zabránit přístupu ke službě Azure přidružené k prostředku privátního propojení.

Privátní koncové body podporují zásady sítě. Zásady sítě umožňují podporu skupin zabezpečení sítě (NSG), tras definovaných uživatelem (UDR) a skupin zabezpečení aplikací (ASG). Další informace o povolení zásad sítě pro privátní koncový bod najdete v tématu Správa zásad sítě pro privátní koncové body. Pokud chcete používat ASG s privátním koncovým bodem, přečtěte si téma Konfigurace skupiny zabezpečení aplikací (ASG) s privátním koncovým bodem.

Při použití privátního koncového bodu se musíte připojit ke stejné službě Azure, ale použít IP adresu privátního koncového bodu. Připojení k důvěrnému koncovému bodu vyžaduje samostatné nastavení DNS (Domain Name System) k překladu privátní IP adresy na název prostředku. Privátní DNS zón zadejte překlad názvů domén ve virtuální síti bez vlastního řešení DNS. Privátní zóny DNS propojíte s každou virtuální sítí a poskytnete tak služby DNS této síti.

Privátní DNS zóny poskytují samostatné názvy zón DNS pro každou službu Azure. Pokud jste například nakonfigurovali privátní zónu DNS pro službu objektů blob účtu úložiště na předchozí imagi, název zón DNS se privatelink.blob.core.windows.net. Další informace o názvech privátních zón DNS pro všechny služby Azure najdete v dokumentaci Microsoftu.

Poznámka:

Konfigurace privátní zóny DNS privátního koncového bodu se automaticky vygenerují pouze v případě, že použijete doporučené schéma pojmenování: privatelink.postgres.database.azure.com Na nově zřízených veřejných přístupových serverech (nevloženého do virtuální sítě) dojde k dočasné změně rozložení DNS. Plně kvalifikovaný název domény serveru teď bude CName, který se přeloží na záznam A ve formátu servername.privatelink.postgres.database.azure.com. V blízké budoucnosti se tento formát použije jenom v případě, že se na serveru vytvoří privátní koncové body.

Hybridní DNS pro Azure a místní prostředky

Dns (Domain Name System) je důležité téma návrhu v celkové architektuře cílové zóny. Některé organizace můžou chtít použít své stávající investice do DNS, zatímco jiné můžou chtít přijmout nativní funkce Azure pro všechny potřeby DNS. Službu Azure DNS Private Resolver můžete použít ve spojení s zónami Azure Privátní DNS pro překlad názvů mezi místy. Privátní překladač DNS může předávat požadavek DNS na jiný server DNS a také poskytuje IP adresu, kterou může externí server DNS použít k předávání požadavků. Externí místní servery DNS tedy dokážou přeložit název umístěný v privátní zóně DNS.

Další informace o použití překladače Privátní DNS s místním předávačem DNS k předávání provozu DNS do Azure DNS najdete v tomto dokumentu a také v tomto dokumentu . Popsaná řešení umožňují rozšířit místní síť, která už má řešení DNS k překladu prostředků v Azure. Architektura Microsoftu

Privátní DNS zóny se obvykle hostují centrálně ve stejném předplatném Azure, ve kterém se nasazuje virtuální síť centra. Tento postup centrálního hostování je řízený překladem názvů DNS mezi místními místy a dalšími potřebami centrálního překladu DNS, jako je Active Directory. Ve většině případů mají oprávnění ke správě záznamů DNS v zónách jenom správci sítí a identit.

V takové architektuře je nakonfigurovaná následující konfigurace:

  • Místní servery DNS mají nakonfigurované podmíněné služby předávání pro každou veřejnou zónu DNS privátního koncového bodu, které odkazují na Privátní DNS Resolver hostovaný ve virtuální síti centra.
  • Překladač Privátní DNS hostovaný ve virtuální síti centra používá jako předávací nástroj DNS poskytovaný Azure (168.63.129.16).
  • Virtuální síť centra musí být propojená s názvy zón Privátní DNS pro služby Azure (například privatelink.postgres.database.azure.com pro flexibilní server Azure Database for PostgreSQL).
  • Všechny virtuální sítě Azure používají Privátní DNS Resolver hostovaný ve virtuální síti centra.
  • Vzhledem k tomu, že Privátní DNS Resolver není autoritativní pro podnikové domény zákazníka, protože se jedná o jenom předávací nástroj (například názvy domén služby Active Directory), měl by mít odchozí služby pro předávání koncových bodů na podnikové domény zákazníka, odkazující na místní servery DNS nebo servery DNS nasazené v Azure, které jsou pro takové zóny autoritativní.

Ve výchozím nastavení jsou zásady sítě pro podsíť ve virtuální síti zakázané. Pokud chcete využívat zásady sítě, jako jsou trasy definované uživatelem a skupiny zabezpečení sítě, musí být pro podsíť povolená podpora zásad sítě. Toto nastavení platí jenom pro privátní koncové body v rámci podsítě. Toto nastavení má vliv na všechny privátní koncové body v rámci podsítě. U jiných prostředků v podsíti se přístup řídí na základě pravidel zabezpečení ve skupině zabezpečení sítě.

Zásady sítě je možné povolit pouze pro skupiny zabezpečení sítě, pouze pro trasy definované uživatelem nebo pro obojí. Další informace najdete v dokumentaci Azure.

Tady jsou uvedená omezení skupin zabezpečení sítě (NSG) a privátních koncových bodů.

Důležité

Ochrana před únikem dat: Privátní koncový bod je mapován na instanci prostředku PaaS místo celé služby. Uživatelé se můžou připojit pouze ke konkrétnímu prostředku. Přístup k jakémukoli jinému prostředku ve službě je zablokovaný. Tento mechanismus poskytuje základní ochranu před riziky úniku dat.

Při použití služby Private Link v kombinaci s pravidly brány firewall jsou možné následující situace a výsledky:

  • Pokud nenakonfigurujete žádná pravidla brány firewall, ve výchozím nastavení nebude mít žádný provoz přístup k instanci flexibilního serveru Azure Database for PostgreSQL.

  • Pokud nakonfigurujete veřejný provoz nebo koncový bod služby a vytvoříte privátní koncové body, budou různé typy příchozího provozu autorizované odpovídajícím typem pravidla brány firewall.

  • Pokud nenakonfigurujete žádný veřejný provoz nebo koncový bod služby a vytváříte privátní koncové body, je instance flexibilního serveru Azure Database for PostgreSQL přístupná pouze prostřednictvím privátních koncových bodů. Pokud nekonfigurujete veřejný provoz nebo koncový bod služby, po zamítnutí nebo odstranění všech schválených privátních koncových bodů nebude mít žádný provoz přístup k instanci flexibilního serveru Azure Database for PostgreSQL.

Řešení potíží s připojením k sítím založeným na privátních koncových bodech

Tady jsou základní oblasti, ve kterých zjistíte, jestli máte problémy s připojením pomocí sítí založených na privátních koncových bodech:

  1. Ověření přiřazení IP adres: Zkontrolujte, jestli má privátní koncový bod přiřazenou správnou IP adresu a že nedošlo ke konfliktům s jinými prostředky. Další informace o privátním koncovém bodu a IP adrese najdete v tomto dokumentu.
  2. Zkontrolujte skupiny zabezpečení sítě (NSG): Zkontrolujte pravidla skupiny zabezpečení sítě pro podsíť privátního koncového bodu a ujistěte se, že je povolený potřebný provoz a neobsahuje konfliktní pravidla. Další informace o skupině zabezpečení sítě najdete v tomto dokumentu.
  3. Ověření konfigurace směrovací tabulky: Ujistěte se, že směrovací tabulky přidružené k podsíti privátního koncového bodu a připojené prostředky jsou správně nakonfigurované s příslušnými trasami.
  4. Použití monitorování a diagnostiky sítě: Využití služby Azure Network Watcher k monitorování a diagnostice síťového provozu pomocí nástrojů, jako je Připojení ion Monitor nebo Zachytávání paketů. Další informace o diagnostice sítě najdete v tomto dokumentu.

Další podrobnosti o řešení potíží jsou k dispozici také v této příručce.

Řešení potíží s překladem DNS se sítěmi založenými na privátních koncových bodech

Tady jsou základní oblasti pro kontrolu, jestli máte problémy s překladem DNS pomocí sítí založených na privátních koncových bodech:

  1. Ověření překladu DNS: Zkontrolujte, jestli server DNS nebo služba používané privátním koncovým bodem a připojené prostředky fungují správně. Ujistěte se, že jsou přesná nastavení DNS privátního koncového bodu. Další informace o privátních koncových bodech a nastavení zóny DNS najdete v tomto dokumentu.
  2. Vymazat mezipaměť DNS: Vymažte mezipaměť DNS na privátním koncovém bodu nebo klientském počítači, abyste zajistili, že se načtou nejnovější informace DNS a zabrání nekonzistentním chybám.
  3. Analýza protokolů DNS: Zkontrolujte chybové zprávy dns nebo neobvyklé vzory, jako jsou selhání dotazů DNS, chyby serveru nebo vypršení časových limitů. Další informace o metrikách DNS najdete v tomto dokumentu.

Další kroky

  • Zjistěte, jak vytvořit instanci flexibilního serveru Azure Database for PostgreSQL pomocí možnosti Privátní přístup (integrace virtuální sítě) na webu Azure Portal nebo v Azure CLI.