Netzwerkhandbuch für den Migrationsdienst in Azure Database for PostgreSQL
GILT FÜR:
Azure Database for PostgreSQL – Flexible Server
In diesem Dokument werden verschiedene Szenarien zum Verbinden einer Quelldatenbank mit einer Azure Database for PostgreSQL-Instanz mithilfe des Migrationsdiensts beschrieben. Jedes Szenario stellt unterschiedliche Netzwerkanforderungen und -konfigurationen dar, um eine erfolgreiche Verbindung für die Migration herzustellen. Spezifische Details variieren je nach dem tatsächlichen Netzwerksetup und den Anforderungen der Quell- und Zielumgebungen.
In der folgenden Tabelle sind die verschiedenen Szenarien für das Verbinden einer Quelldatenbank mit Azure Database for PostgreSQL mithilfe des Migrationsdiensts zusammengefasst. Es wird angegeben, ob jedes Szenario basierend auf den Konfigurationen der Quell- und Zielumgebungen unterstützt wird.
| PostgreSQL-Quelle | Ziel | Unterstützt |
|---|---|---|
| Lokal mit öffentlicher IP-Adresse | Azure Database for PostgreSQL – Flexibler Server mit öffentlichem Zugriff | Ja |
| Lokal mit privater IP-Adresse über VPN/ExpressRoute | In das VNet integrierte Instanz von Azure Database for PostgreSQL – Flexibler Server | Ja |
| AWS RDS für PostgreSQL mit öffentlicher IP-Adresse | Azure Database for PostgreSQL – Flexibler Server mit öffentlichem Zugriff | Ja |
| AWS RDS für PostgreSQL mit privatem Zugriff über VPN/ExpressRoute | In das VNet integrierte Instanz von Azure Database for PostgreSQL – Flexibler Server | Ja |
| PostgreSQL installierte Azure-VM in demselben/einem anderen VNet | In das VNet integrierte Instanz von Azure Database for PostgreSQL – Flexibler Server in demselben/einem anderen VNet | Ja |
| Azure Database for PostgreSQL – Einzelserver mit öffentlichem Zugriff | In das VNet integrierte Instanz von Azure Database for PostgreSQL – Flexibler Server | Ja |
| Azure Database for PostgreSQL – Einzelserver mit privatem Endpunkt | In das VNet integrierte Instanz von Azure Database for PostgreSQL – Flexibler Server | Ja |
| Azure Database for PostgreSQL – Einzelserver mit privatem Endpunkt | Azure Database for PostgreSQL – Flexibler Server mit privatem Endpunkt | Geplant für künftiges Release |
| Lokal/Azure-VM/AWS mit privatem Zugriff | Azure Database for PostgreSQL – Flexibler Server mit privatem Endpunkt | Geplant für künftiges Release |
| Lokal/Azure-VM/AWS mit privatem Zugriff | Azure Database for PostgreSQL – Flexibler Server mit öffentlichem Zugriff | Geplant für künftiges Release |
Szenario 1: Lokale Quelle für Azure Database for PostgreSQL mit öffentlichem Zugriff
Netzwerkschritte:
- Der Quelldatenbankserver muss über eine öffentliche IP-Adresse verfügen.
- Konfigurieren Sie die Firewall so, dass ausgehende Verbindungen auf dem PostgreSQL-Port (Standard 5432) zulässig sind.
- Stellen Sie sicher, dass auf den Quelldatenbankserver über das Internet zugegriffen werden kann.
- Überprüfen Sie die Netzwerkkonfiguration, indem Sie die Konnektivität vom Azure Database for PostgreSQL-Ziel zur Quelldatenbank testen und bestätigen, dass der Migrationsdienst auf die Quelldaten zugreifen kann.
Szenario 2: Private IP-Adresse der lokale Quelle zur im virtuellen Netzwerk integrierten Azure Database for PostgreSQL-Instanz über Express Route/IPSec-VPN
Netzwerkschritte:
- Richten Sie ein Site-to-Site-VPN oder ExpressRoute für eine sichere, zuverlässige Verbindung zwischen dem lokalen Netzwerk und Azure ein.
- Konfigurieren Sie Virtual Network (virtuelles Netzwerk) von Azure, um den Zugriff über den lokalen IP-Adressbereich zu ermöglichen.
- Richten Sie Regeln für die Netzwerksicherheitsgruppe (NSG) ein, um Datenverkehr im PostgreSQL-Port (Standard 5432) aus dem lokalen Netzwerk zuzulassen.
- Überprüfen Sie die Netzwerkkonfiguration, indem Sie die Konnektivität vom Azure Database for PostgreSQL-Ziel zur Quelldatenbank testen und bestätigen, dass der Migrationsdienst auf die Quelldaten zugreifen kann.
Szenario 3: AWS RDS für PostgreSQL zu Azure Database for PostgreSQL
Die Quelldatenbank in einem anderen Cloudanbieter (AWS) muss über eine öffentliche IP-Adresse oder eine direkte Verbindung mit Azure verfügen.
Netzwerkschritte:
Öffentlicher Zugriff:
- Wenn Ihre AWS RDS-Instanz nicht öffentlich zugänglich ist, können Sie die Instanz so ändern, dass Verbindungen von Azure zugelassen werden. Dies kann über die AWS-Verwaltungskonsole erfolgen, indem Sie die Einstellung „Öffentlich Zugänglich“ auf „Ja“ ändern.
- Fügen Sie in der AWS RDS-Sicherheitsgruppe eine eingehende Regel hinzu, um Datenverkehr aus der öffentliche IP-Adresse/Domäne von Azure Database for PostgreSQL zuzulassen.
Privater Zugriff
- Stellen Sie eine sichere Verbindung mithilfe von ExpressRoute oder eines VPN von AWS zu Azure her.
- Fügen Sie in der AWS RDS-Sicherheitsgruppe eine eingehende Regel hinzu, um Datenverkehr aus der öffentlichen IP-Adresse/Domäne von Azure Database for PostgreSQL oder dem Bereich der IP-Adressen im virtuellen Azure-Netzwerk im PostgreSQL-Port (Standard 5432) zuzulassen.
- Erstellen Sie ein Azure Virtual Network (virtuelles Netzwerk), in dem sich Ihre Azure Database for PostgreSQL-Instanz befindet. Konfigurieren Sie die Network Security Group (NSG) des virtuellen Netzwerks, um ausgehende Verbindungen mit der IP-Adresse der AWS-RDS-Instanz im PostgreSQL-Port zuzulassen.
- Richten Sie NSG-Regeln in Azure ein, um eingehende Verbindungen vom Cloudanbieter, AWS RDS IP-Adressbereich, zuzulassen.
- Testen Sie die Konnektivität zwischen AWS RDS und Azure Database for PostgreSQL, um sicherzustellen, dass keine Netzwerkprobleme vorliegen.
Szenario 4: Azure-VMs zu Azure Database for PostgreSQL (verschiedene virtuelle Netzwerke)
In diesem Szenario wird die Konnektivität zwischen Azure-VMs und einer Azure Database for PostgreSQL-Instanz beschrieben, die sich in verschiedenen virtuellen Netzwerken befindet. Peering virtueller Netzwerke und entsprechende NSG-Regeln sind erforderlich, um den Datenverkehr zwischen den VNets zu unterstützen.
Netzwerkschritte:
- Richten Sie Peering virtueller Netzwerke zwischen den beiden VNets ein, um die direkte Netzwerkkonnektivität zu ermöglichen.
- Konfigurieren Sie NSG-Regeln, um Datenverkehr zwischen den VNets auf dem PostgreSQL-Port zuzulassen.
Szenario 5: Azure-VMs zu Azure PostgreSQL (gleiches virtuelles Netzwerk)
Wenn sich eine Azure-VM und Azure Database for PostgreSQL innerhalb desselben virtuellen Netzwerks befinden, ist die Konfiguration einfach. NSG-Regeln sollten so festgelegt werden, dass interner Datenverkehr auf dem PostgreSQL-Port zulässig ist, ohne dass zusätzliche Firewallregeln für die Azure Database for PostgreSQL-Instanz erforderlich sind, da der Datenverkehr innerhalb des VNet verbleibt.
Netzwerkschritte:
- Stellen Sie sicher, dass sich die VM und der PostgreSQL-Server im selben virtuellen Netzwerk befinden.
- Konfigurieren Sie NSG-Regeln, um Datenverkehr innerhalb des virtuellen Netzwerks auf dem PostgreSQL-Port zuzulassen.
- Für die Azure Database for PostgreSQL-Instanz sind keine anderen Firewallregeln erforderlich, da der Datenverkehr intern im virtuellen Netzwerk ist.
Szenario 6: Azure Database for PostgreSQL – Einzelserver zu in VNet integrierter Instanz von Azure Database for PostgreSQL – Flexibler Server
Um die Konnektivität zwischen einer Instanz von Azure Database for PostgreSQL – Einzelserver mit öffentlichem Zugriff und einem in ein VNet integrierten flexiblen Server zu erleichtern, müssen Sie den Einzelserver so konfigurieren, dass Verbindungen von dem Subnetz, in dem der flexible Server bereitgestellt wird, zugelassen werden. Es folgt eine kurze Übersicht über die Schritte zum Einrichten dieser Konnektivität:
Hinzufügen einer VNet-Regel zum Einzelserver:
Navigieren Sie zum Azure-Portal, und öffnen Sie Ihre PostgreSQL-Einzelserverinstanz.
Wechseln Sie zu den Einstellungen für „Verbindungssicherheit“.
Suchen Sie den Abschnitt „VNet-Regeln“, und klicken Sie auf „Vorhandenes virtuelles Netzwerk hinzufügen“.
Mit dieser Aktion können Sie angeben, welches virtuelle Netzwerk eine Verbindung mit Ihrem Einzelserver herstellen kann.
Regeleinstellungen konfigurieren:
Geben Sie im angezeigten Konfigurationsbereich einen Namen für die neue VNet-Regel ein.
Wählen Sie das Abonnement aus, in dem sich Ihr flexibler Server befindet.
Wählen Sie das virtuelle Netzwerk (VNet) und das dem flexiblen Server zugeordnete Subnetz aus.
Bestätigen Sie die Einstellungen, indem Sie auf „OK“ klicken.
Nach Abschluss dieser Schritte wird der Einzelserver so konfiguriert, dass Verbindungen vom Subnetz des flexiblen Servers akzeptiert werden, sodass eine sichere Kommunikation zwischen den beiden Servern ermöglicht wird.
Szenario 7: Azure Database for PostgreSQL – Einzelserver mit privatem Endpunkt zu in VNet integrierte Instanz von Azure Database for PostgreSQL – Flexibler Server
Führen Sie die folgenden Schritte aus, um die Konnektivität von Azure Database for PostgreSQL – Einzelserver mit einem privaten Endpunkt zu einem in ein VNet integrierten flexiblen Server zu erleichtern:
Angeben von Details zum privaten Endpunkt:
Navigieren Sie im Azure-Portal zur Einzelserverinstanz, und klicken Sie auf den privaten Endpunkt, um die VNet- und Subnetzdetails anzuzeigen.
Öffnen Sie das Blatt „Netzwerk“ des flexiblen Servers, um sich die VNet- und Subnetzinformationen zu notieren.
Bewerten der VNet-Peeringanforderungen
- Wenn sich die beiden in unterschiedlichen VNets befinden, müssen Sie das VNet-Peering aktivieren, um eine Verbindung zwischen den beiden VNets herzustellen. Wenn sie sich im selben VNET, aber in verschiedenen Subnetzen befinden, ist ein Peering nicht erforderlich. Stellen Sie sicher, dass keine Netzwerksicherheitsgruppen (NSG) vorhanden sind, die den Datenverkehr vom flexiblen Server zum Einzelserver blockieren.
Konfiguration der privaten DNS-Zone
Wechseln Sie zum Blatt Netzwerk auf dem flexiblen Server, und überprüfen Sie, ob eine private DNS-Zone verwendet wird. Falls ja, öffnen Sie diese private DNS-Zone im Portal. Klicken Sie im linken Bereich auf Verknüpfungen virtueller Netzwerke, und überprüfen Sie, ob das VNET des Einzelservers und des flexiblen Servers dieser Liste hinzugefügt worden sind.
Falls nein, klicken Sie auf die Schaltfläche Hinzufügen, und erstellen Sie eine Verknüpfung für die VNETs des Einzel- und des flexiblen Servers zu dieser privaten DNS-Zone.
Wechseln Sie zum privaten Endpunkt auf Ihrem Einzelserver, und klicken Sie auf das Blatt DNS-Konfiguration. Überprüfen Sie, ob an diesen Endpunkt eine private DNS-Zone angefügt ist. Wenn nicht, fügen Sie eine private DNS-Zone an, indem Sie auf die Schaltfläche Konfiguration hinzufügen klicken.
Klicken Sie auf die private DNS-Zone im privaten Endpunkt Ihres Einzelservers, und überprüfen Sie, ob die VNETs des Einzel- und es flexiblen Servers den virtuellen Netzwerkverbindungen hinzugefügt werden. Falls nicht, führen Sie die im obigen Schritt beschriebenen Schritte aus, um die Verknüpfungen zu den VNETs des Einzel- und des flexiblen Servers zu dieser privaten DNS-Zone hinzuzufügen.
Im letzten Schritt rufen Sie die private DNS-Zone des privaten Endpunkts auf Ihrem Einzelserver auf und überprüfen, ob ein A-Eintrag für Ihren Einzelserver vorhanden ist, der auf eine private IP-Adresse verweist.
Wenn Sie diese Schritte ausführen, kann sich die Instanz von Azure Database for PostgreSQL – Flexibler Server mit der Instanz von Azure Database for PostgreSQL – Einzelserver verbinden.
Ressourcen für das Azure-Netzwerksetup
- Informationen zum Herstellen einer ExpressRoute-Verbindung finden Sie in der Azure ExpressRoute-Übersicht.
- Informationen zum Einrichten eines IPsec-VPN finden Sie im Leitfaden zu Azure Point-to-Site-VPN-Verbindungen.
- Für Peering virtueller Netzwerke lesen Sie Azure Virtual Network-Peering