Azure Private Link pour Azure Database pour PostgreSQL-Serveur uniquePrivate Link for Azure Database for PostgreSQL-Single server

Private Link vous permet de créer des points de terminaison privés pour Azure Database pour PostgreSQL – Serveur unique pour le placer à l’intérieur de votre réseau virtuel (VNet).Private Link allows you to create private endpoints for Azure Database for PostgreSQL - Single server to bring it inside your Virtual Network (VNet). Le point de terminaison privé expose une adresse IP privée dans un sous-réseau que vous pouvez utiliser pour vous connecter à votre serveur de base de données, comme n’importe quelle autre ressource du VNet.The private endpoint exposes a private IP within a subnet that you can use to connect to your database server just like any other resource in the VNet.

Pour obtenir la liste des services PaaS prenant en charge la fonctionnalité Private Link, consultez la documentation de Private Link.For a list to PaaS services that support Private Link functionality, review the Private Link documentation. Un point de terminaison privé est une adresse IP privée au sein d’un réseau virtuel et d’un sous-réseau spécifiques.A private endpoint is a private IP address within a specific VNet and Subnet.

Notes

La fonctionnalité de liaison privée est disponible uniquement pour les serveurs Azure Database pour PostgreSQL dans les niveaux tarifaires Usage général ou Mémoire optimisée.The private link feature is only available for Azure Database for PostgreSQL servers in the General Purpose or Memory Optimized pricing tiers. Vérifiez que le serveur de base de données se trouve dans l’un de ces niveaux tarifaires.Ensure the database server is in one of these pricing tiers.

Prévention de l’exfiltration de donnéesData exfiltration prevention

L’exfiltration de données dans le serveur unique Azure Database pour PostgreSQL se produit quand un utilisateur autorisé, tel qu’un administrateur de base de données, est en mesure d’extraire des données d’un système et de les déplacer vers un autre emplacement ou système en dehors de l’organisation.Data ex-filtration in Azure Database for PostgreSQL Single server is when an authorized user, such as a database admin, is able to extract data from one system and move it to another location or system outside the organization. C’est par exemple le cas quand un utilisateur déplace des données vers un compte de stockage détenu par un tiers.For example, the user moves the data to a storage account owned by a third party.

Imaginez un scénario avec un utilisateur exécutant PGAdmin à l’intérieur d’une machine virtuelle Azure qui se connecte à un serveur Azure Database pour PostgreSQL approvisionné dans la région USA Ouest.Consider a scenario with a user running PGAdmin inside an Azure Virtual Machine (VM) that is connecting to an Azure Database for PostgreSQL Single server provisioned in West US. L’exemple ci-dessous montre comment utiliser des contrôles d’accès réseau pour limiter l’accès au serveur unique Azure Database pour PostgreSQL par le biais de points de terminaison publics.The example below shows how to limit access with public endpoints on Azure Database for PostgreSQL Single server using network access controls.

  • Désactivez tout le trafic des services Azure à destination du serveur unique Azure Database pour PostgreSQL par le biais du point de terminaison public en désactivant l’option Autoriser les services Azure.Disable all Azure service traffic to Azure Database for PostgreSQL Single server via the public endpoint by setting Allow Azure Services to OFF. Assurez-vous qu’aucune adresse IP ou plage n’est autorisée à accéder au serveur via des règles de pare-feu ou des points de terminaison de service de réseau virtuel.Ensure no IP addresses or ranges are allowed to access the server either via firewall rules or virtual network service endpoints.

  • Autorisez uniquement le trafic à destination du serveur unique Azure Database pour PostgreSQL utilisant l’adresse IP privée de la machine virtuelle.Only allow traffic to the Azure Database for PostgreSQL Single server using the Private IP address of the VM. Pour plus d’informations, consultez les articles sur le point de terminaison de service et les règles de pare-feu du réseau virtuel.For more information, see the articles on Service Endpoint and VNet firewall rules.

  • Sur la machine virtuelle Azure, limitez l’étendue de la connexion sortante à l’aide de groupes de sécurité réseau (NSG) et d’étiquettes de service comme suitOn the Azure VM, narrow down the scope of outgoing connection by using Network Security Groups (NSGs) and Service Tags as follows

    • Spécifiez une règle NSG pour autoriser le trafic pour Service Tag = SQL.WestUS (autorise uniquement la connexion au serveur unique Azure Database pour PostgreSQL dans la région USA Ouest)Specify an NSG rule to allow traffic for Service Tag = SQL.WestUS - only allowing connection to Azure Database for PostgreSQL Single server in West US
    • Spécifiez une règle NSG avec une priorité plus élevée pour refuser le trafic pour Service Tag = SQL (refuse les connexions à la base de données PostgreSQL dans toutes les régions)Specify an NSG rule (with a higher priority) to deny traffic for Service Tag = SQL - denying connections to PostgreSQL Database in all regions

À la fin de cette configuration, la machine virtuelle Azure peut uniquement se connecter au serveur unique Azure Database pour PostgreSQL dans la région USA Ouest.At the end of this setup, the Azure VM can connect only to Azure Database for PostgreSQL Single server in the West US region. Toutefois, la connectivité n’est pas limitée à un serveur unique Azure Database pour PostgreSQL.However, the connectivity isn't restricted to a single Azure Database for PostgreSQL Single server. La machine virtuelle peut toujours se connecter à tout serveur unique Azure Database pour PostgreSQL de la région USA Ouest, même si elle ne fait pas partie de l’abonnement.The VM can still connect to any Azure Database for PostgreSQL Single server in the West US region, including the databases that aren't part of the subscription. Bien que nous ayons réduit l’étendue de l’exfiltration de données dans le scénario ci-dessus à une région spécifique, nous ne l’avons pas encore totalement éliminée.While we've reduced the scope of data exfiltration in the above scenario to a specific region, we haven't eliminated it altogether.

Grâce à Private Link, vous pouvez désormais configurer des contrôles d’accès réseau comme des groupes de sécurité réseau pour restreindre l’accès au point de terminaison privé.With Private Link, you can now set up network access controls like NSGs to restrict access to the private endpoint. Les ressources Azure PaaS individuelles sont ensuite mappées à des points de terminaison privés spécifiques.Individual Azure PaaS resources are then mapped to specific private endpoints. Un utilisateur interne malveillant peut uniquement accéder à la ressource PaaS mappée (par exemple, un serveur unique Azure Database pour PostgreSQL). Il n’a accès à aucune autre ressource.A malicious insider can only access the mapped PaaS resource (for example an Azure Database for PostgreSQL Single server) and no other resource.

Connectivité locale sur un appairage privéOn-premises connectivity over private peering

Quand vous vous connectez au point de terminaison public à partir de machines locales, votre adresse IP doit être ajoutée au pare-feu IP à l’aide d’une règle de pare-feu au niveau du serveur.When you connect to the public endpoint from on-premises machines, your IP address needs to be added to the IP-based firewall using a Server-level firewall rule. Bien que ce modèle fonctionne bien pour autoriser l’accès à des machines individuelles pour des charges de travail de développement ou de test, il est difficile à gérer dans un environnement de production.While this model works well for allowing access to individual machines for dev or test workloads, it's difficult to manage in a production environment.

Grâce à Private Link, vous pouvez activer l’accès entre différents locaux au point de terminaison privé en utilisant ExpressRoute (ER), un peering privé ou un tunnel VPN.With Private Link, you can enable cross-premises access to the private endpoint using Express Route (ER), private peering or VPN tunnel. Vous pouvez ensuite désactiver tous les accès via le point de terminaison public et ne pas utiliser le pare-feu IP.They can subsequently disable all access via public endpoint and not use the IP-based firewall.

Notes

Il peut arriver que l’instance Azure Database pour PostgreSQL et le sous-réseau de réseau virtuel se trouvent dans des abonnements différents.In some cases the Azure Database for PostgreSQL and the VNet-subnet are in different subscriptions. Dans ce cas, vous devez vérifier les configurations suivantes :In these cases you must ensure the following configurations:

  • Assurez-vous que le fournisseur de ressources Microsoft.DBforPostgreSQL est inscrit pour les deux abonnements.Make sure that both the subscription has the Microsoft.DBforPostgreSQL resource provider registered. Pour plus d’informations, reportez-vous à resource-manager-registrationFor more information refer resource-manager-registration

Processus de créationCreation Process

Des points de terminaison privés sont requis pour activer Private Link.Private endpoints are required to enable Private Link. Pour ce faire, vous pouvez utiliser les guides pratiques suivants.This can be done using the following how-to guides.

Processus d’approbationApproval Process

Une fois que l’administrateur réseau a créé le point de terminaison privé (PE), l’administrateur PostgreSQL peut gérer la connexion de point de terminaison privé (PEC) à Azure Database pour PostgreSQL.Once the network admin creates the private endpoint (PE), the PostgreSQL admin can manage the private endpoint Connection (PEC) to Azure Database for PostgreSQL. Cette séparation des tâches entre l’administrateur réseau et l’administrateur de bases de données facilite la gestion de la connectivité Azure Database pour PostgreSQL.This separation of duties between the network admin and the DBA is helpful for management of the Azure Database for PostgreSQL connectivity.

  • Accédez à la ressource de serveur Azure Database pour PostgreSQL dans le Portail Azure.Navigate to the Azure Database for PostgreSQL server resource in the Azure portal.
    • Sélectionner les connexions de point de terminaison privé dans le volet gaucheSelect the private endpoint connections in the left pane
    • Affiche la liste de toutes les connexions de point de terminaison privé (PEC)Shows a list of all private endpoint Connections (PECs)
    • Point de terminaison privé (PE) correspondant crééCorresponding private endpoint (PE) created

sélectionnez le portail du point de terminaison privé

  • Sélectionnez un PEC dans la liste.Select an individual PEC from the list by selecting it.

sélectionnez l’approbation en attente du point de terminaison privé

  • L’administrateur du serveur PostgreSQL peut choisir d’approuver ou de rejeter un PEC. Il peut aussi ajouter une brève réponse sous forme de texte.The PostgreSQL server admin can choose to approve or reject a PEC and optionally add a short text response.

sélectionnez le message du point de terminaison privé

  • Après l’approbation ou le rejet, la liste reflète l’état approprié et le texte de réponseAfter approval or rejection, the list will reflect the appropriate state along with the response text

sélectionnez l’état final du point de terminaison privé

Les clients peuvent se connecter à un point de terminaison privé à partir du même réseau virtuel, Réseau virtuel homologué dans la même région ou entre des régions ou via la connexion de réseau virtuel à réseau virtuel entre des régions.Clients can connect to the private endpoint from the same VNet, peered VNet in same region or across regions, or via VNet-to-VNet connection across regions. Les clients peuvent également se connecter localement avec ExpressRoute, un appairage privé ou un tunneling VPN.Additionally, clients can connect from on-premises using ExpressRoute, private peering, or VPN tunneling. Vous trouverez ci-dessous un diagramme simplifié montrant les cas d’usage courants.Below is a simplified diagram showing the common use cases.

sélectionnez la vue d’ensemble du point de terminaison privé

Connexion à partir d’une machine virtuelle Azure dans un réseau virtuel appairéConnecting from an Azure VM in Peered Virtual Network (VNet)

Configurez le Peering de réseau virtuel pour établir la connectivité au serveur unique Azure Database pour PostgreSQL à partir d’une machine virtuelle Azure dans un réseau virtuel appairé.Configure VNet peering to establish connectivity to the Azure Database for PostgreSQL - Single server from an Azure VM in a peered VNet.

Connexion à partir d’une machine virtuelle Azure dans un environnement de réseau virtuel à réseau virtuelConnecting from an Azure VM in VNet-to-VNet environment

Configurez une connexion de passerelle VPN de réseau virtuel à réseau virtuel pour établir la connectivité au serveur unique Azure Database pour PostgreSQL à partir d’une machine virtuelle Azure dans une autre région ou un autre abonnement.Configure VNet-to-VNet VPN gateway connection to establish connectivity to a Azure Database for PostgreSQL - Single server from an Azure VM in a different region or subscription.

Connexion à partir d’un environnement local sur un VPNConnecting from an on-premises environment over VPN

Pour établir la connectivité entre un environnement local et le serveur unique Azure Database pour PostgreSQL, choisissez et implémentez l’une des options suivantes :To establish connectivity from an on-premises environment to the Azure Database for PostgreSQL - Single server, choose and implement one of the options:

Les situations et résultats suivants sont possibles lorsque vous utilisez Private Link en association avec des règles de pare-feu :The following situations and outcomes are possible when you use Private Link in combination with firewall rules:

  • Si vous ne configurez pas de règles de pare-feu, par défaut, aucun trafic ne pourra accéder au serveur unique Azure Database pour PostgreSQL.If you don't configure any firewall rules, then by default, no traffic will be able to access the Azure Database for PostgreSQL Single server.

  • Si vous configurez un trafic public ou un point de terminaison de service et que vous créez des points de terminaison privés, différents types de trafic entrant sont alors autorisés par le type de règle de pare-feu correspondant.If you configure public traffic or a service endpoint and you create private endpoints, then different types of incoming traffic are authorized by the corresponding type of firewall rule.

  • Si vous ne configurez aucun trafic public ni point de terminaison de service et que vous créez des points de terminaison privés, le serveur unique Azure Database pour PostgreSQL est alors uniquement accessible via les points de terminaison privés.If you don't configure any public traffic or service endpoint and you create private endpoints, then the Azure Database for PostgreSQL Single server is accessible only through the private endpoints. Si vous ne configurez aucun trafic public ni point de terminaison de service, après le rejet ou la suppression de tous les points de terminaison privés approuvés, aucun trafic ne sera en mesure d’accéder au serveur unique Azure Database pour PostgreSQL.If you don't configure public traffic or a service endpoint, after all approved private endpoints are rejected or deleted, no traffic will be able to access the Azure Database for PostgreSQL Single server.

Refuser l’accès public pour le serveur unique Azure Database pour PostgreSQLDeny public access for Azure Database for PostgreSQL Single server

Si vous souhaitez vous fier uniquement à des points de terminaison privés pour accéder à leur base de données Azure Database pour PostgreSQL, vous pouvez désactiver la définition de tous les points de terminaison publics (règles de pare-feu et points de terminaison de service de réseau virtuel) en définissant la configuration Refuser l’accès au réseau public sur le serveur de base de données.If you want to rely only on private endpoints for accessing their Azure Database for PostgreSQL Single server, you can disable setting all public endpoints(firewall rules and VNet service endpoints) by setting the Deny Public Network Access configuration on the database server.

Lorsque ce paramètre est défini sur OUI, seules les connexions via des points de terminaison privés sont autorisées vers votre base de données Azure Database pour PostgreSQL.When this setting is set to YES only connections via private endpoints are allowed to your Azure Database for PostgreSQL. Lorsque ce paramètre est défini sur NON, les clients peuvent se connecter à votre base de données Azure Database pour PostgreSQL en fonction du paramètre des points de terminaison de votre service de pare-feu ou de réseau virtuel.When this setting is set to NO clients can connect to your Azure Database for PostgreSQL based on your firewall or VNet service endpoint setting. En outre, une fois la valeur d’accès au réseau privé définie, les clients ne peuvent ajouter et/ou mettre à jour ni des « règles de pare-feu » existantes, ni des « règles de points de terminaison du service de réseau virtuel ».Additionally, once the value of the Private network access is set, customers cannot add and/or update existing 'Firewall rules' and 'VNet service endpoint rules'.

Notes

Cette fonctionnalité est disponible dans toutes les régions Azure où Azure Database pour PostgreSQL - Serveur unique prend en charge les niveaux tarifaires Usage général et Mémoire optimisée.This feature is available in all Azure regions where Azure Database for PostgreSQL - Single server supports General Purpose and Memory Optimized pricing tiers.

Ce paramètre n’a aucun impact sur les configurations SSL et TLS pour votre serveur Azure Database pour PostgreSQL.This setting does not have any impact on the SSL and TLS configurations for your Azure Database for PostgreSQL Single server.

Pour savoir comment définir l’option Refuser l’accès au réseau public pour votre serveur unique Azure Database pour PostgreSQL à partir du portail Azure, consultez Configurer Refuser l’accès au réseau public.To learn how to set the Deny Public Network Access for your Azure Database for PostgreSQL Single server from Azure portal, refer to How to configure Deny Public Network Access.

Étapes suivantesNext steps

Pour en savoir plus sur les fonctionnalités de sécurité du serveur unique Azure Database pour PostgreSQL, consultez les articles suivants :To learn more about Azure Database for PostgreSQL Single server security features, see the following articles: