Azure Database for PostgreSQL - Jaringan Server Fleksibel dengan Private Link
Azure Private Link memungkinkan Anda membuat titik akhir privat untuk server fleksibel Azure Database for PostgreSQL untuk membawanya ke dalam Virtual Network (jaringan virtual). Fungsionalitas tersebut diperkenalkan selain kemampuan jaringan yang sudah ada yang disediakan oleh Integrasi VNET, yang saat ini tersedia secara umum dengan server fleksibel Azure Database for PostgreSQL. Dengan Private Link, lalu lintas antara jaringan virtual Anda dan layanan melakukan perjalanan jaringan backbone Microsoft. Mengekspos layanan Anda ke internet publik tidak lagi diperlukan. Anda juga dapat membuat layanan tautan privat di jaringan virtual dan mengirimkannya ke pelanggan. Penyiapan dan pemakaian menggunakan Azure Private Link konsisten di seluruh layanan Azure PaaS, milik pelanggan dan mitra bersama.
Private Link diekspos ke pengguna melalui dua jenis sumber daya Azure:
- Titik Akhir Privat (Microsoft.Network/PrivateEndpoints)
- Private Link Services (Microsoft.Network/PrivateLinkServices)
Titik akhir privat
Titik Akhir Privat menambahkan antarmuka jaringan ke sumber daya, menyediakannya dengan alamat IP privat yang ditetapkan dari VNET (Virtual Network) Anda. Setelah diterapkan, Anda dapat berkomunikasi dengan sumber daya ini secara eksklusif melalui jaringan virtual (VNET). Untuk daftar layanan PaaS yang mendukung fungsi Private Link, tinjau dokumentasi Private Link. Titik akhir privat adalah alamat IP privat dalam VNet dan Subnet tertentu.
Instans layanan publik yang sama dapat dirujuk oleh beberapa titik akhir privat di VNet/subnet yang berbeda, bahkan jika mereka memiliki ruang alamat yang tumpang tindih.
Manfaat Utama Azure Private Link
Azure Private Link memberikan manfaat berikut:
Mengakses layanan secara privat di platform Azure: Menyambungkan jaringan virtual Anda menggunakan titik akhir privat ke semua layanan yang dapat digunakan sebagai komponen aplikasi di Azure. Penyedia layanan dapat me-{i>render
Jaringan lokal dan peering: Layanan akses yang berjalan di Azure dari lokal melalui peering privat ExpressRoute, terowongan VPN, dan jaringan virtual yang di-peering menggunakan titik akhir privat. Tidak perlu mengonfigurasi {i>peering
Perlindungan terhadap kebocoran data: Titik akhir privat dipetakan ke instans sumber daya PaaS, bukan seluruh layanan. Konsumen hanya dapat tersambung ke sumber daya tertentu. Akses ke sumber daya lain dalam layanan diblokir. Mekanisme ini memberikan perlindungan terhadap risiko kebocoran data.
Jangkauan global: Terhubung secara privat ke layanan yang berjalan di wilayah lain. Jaringan virtual konsumen dapat berada di wilayah A dan dapat terhubung ke layanan di belakang Private Link di wilayah B.
Gunakan Kasus untuk Private Link dengan server fleksibel Azure Database for PostgreSQL
Klien dapat terhubung ke titik akhir privat dari VNet yang sama, VNet yang di-peering di wilayah yang sama atau di seluruh wilayah, atau melalui koneksi VNet-ke-VNet di seluruh wilayah. Selain itu, klien dapat terhubung dari jaringan lokal menggunakan ExpressRoute, peering pribadi, atau terowongan VPN. Di bawah ini adalah diagram sederhana yang menunjukkan kasus penggunaan umum.
Batasan dan Fitur yang Didukung untuk Private Link dengan server fleksibel Azure Database for PostgreSQL
Matriks Ketersediaan Fitur Silang untuk Titik Akhir Privat di server fleksibel Azure Database for PostgreSQL.
| Fitur | Ketersediaan | Catatan |
|---|---|---|
| Ketersediaan Tinggi (HA) | Ya | Berfungsi seperti yang dirancang |
| Replika Baca | Ya | Berfungsi seperti yang dirancang |
| Membaca Replika dengan titik akhir virtual | Ya | Berfungsi seperti yang dirancang |
| Pemulihan Titik Waktu Tertentu (PITR) | Ya | Berfungsi seperti yang dirancang |
| Mengizinkan juga akses publik/internet dengan aturan firewall | Ya | Berfungsi seperti yang dirancang |
| Peningkatan Versi Utama (MVU) | Ya | Berfungsi seperti yang dirancang |
| Microsoft Entra Authentication (Entra Auth) | Ya | Berfungsi seperti yang dirancang |
| pengumpulan Koneksi ion dengan PGBouncer | Ya | Berfungsi seperti yang dirancang |
| DNS Titik Akhir Privat | Ya | Berfungsi seperti yang dirancang dan didokumenkan |
| Enkripsi dengan Kunci yang Dikelola Pelanggan (CMK) | Ya | Berfungsi seperti yang dirancang |
Koneksi dari Azure VM di Peered Virtual Network
Konfigurasikan peering jaringan virtual untuk membangun konektivitas ke server fleksibel Azure Database for PostgreSQL dari Azure VM di jaringan virtual yang di-peering.
Koneksi dari Azure VM di lingkungan VNet-ke-VNet
Konfigurasikan koneksi gateway VPN VNet-ke-VNet untuk membangun konektivitas ke instans server fleksibel Azure Database for PostgreSQL dari Azure VM di wilayah atau langganan yang berbeda.
Koneksi dari lingkungan lokal melalui VPN
Untuk membangun konektivitas dari lingkungan lokal ke instans server fleksibel Azure Database for PostgreSQL, pilih dan terapkan salah satu opsi:
Keamanan Jaringan dan Private Link
Saat Anda menggunakan titik akhir privat, lalu lintas diamankan ke sumber daya tautan privat. Platform memvalidasi koneksi jaringan, hanya memungkinkan koneksi yang mencapai sumber daya tautan privat yang ditentukan. Untuk mengakses lebih banyak sub-sumber daya dalam layanan Azure yang sama, diperlukan titik akhir yang lebih privat dengan target yang sesuai. Dalam kasus Azure Storage, misalnya, Anda memerlukan titik akhir privat terpisah untuk mengakses subresource file dan blob.
Titik akhir privat menyediakan alamat IP yang dapat diakses secara privat untuk layanan Azure, tetapi tidak selalu membatasi akses jaringan publik ke dalamnya. Namun, semua layanan Azure lainnya memerlukan kontrol akses lain. Kontrol ini memberikan lapisan keamanan jaringan tambahan ke sumber daya Anda, memberikan perlindungan yang membantu mencegah akses ke layanan Azure yang terkait dengan sumber daya link privat.
Titik akhir privat mendukung kebijakan jaringan. Kebijakan jaringan mengaktifkan dukungan untuk Kelompok Keamanan Jaringan (NSG), Rute yang Ditentukan Pengguna (UDR), dan Kelompok Keamanan Aplikasi (ASG). Untuk informasi lebih lanjut terkait mengaktifkan kebijakan jaringan untuk titik akhir privat, lihat Mengelola kebijakan jaringan untuk titik akhir privat. Untuk menggunakan ASG dengan titik akhir privat, lihat Mengonfigurasi kelompok keamanan aplikasi (ASG) dengan titik akhir privat.
Private Link dan DNS
Saat menggunakan titik akhir privat, Anda perlu menyambungkan ke layanan Azure yang sama tetapi menggunakan alamat IP titik akhir privat. Koneksi titik akhir intim memerlukan pengaturan Sistem Nama Domain (DNS) terpisah untuk menyelesaikan alamat IP privat ke nama sumber daya. Zona DNS privat menyediakan resolusi nama domain dalam jaringan virtual tanpa solusi DNS kustom. Anda menautkan zona DNS privat ke setiap jaringan virtual untuk menyediakan layanan DNS ke jaringan tersebut.
Zona DNS privat menyediakan nama zona DNS terpisah untuk setiap layanan Azure. Misalnya, jika Anda mengonfigurasi zona DNS privat untuk layanan blob akun penyimpanan di gambar sebelumnya, nama zona DNS privatelink.blob.core.windows.net. Lihat dokumentasi Microsoft di sini untuk melihat lebih banyak nama zona DNS privat untuk semua layanan Azure.
Catatan
Konfigurasi zona DNS privat titik akhir privat hanya akan dibuat secara otomatis jika Anda menggunakan skema penamaan yang direkomendasikan: privatelink.postgres.database.azure.com Pada server akses publik yang baru disediakan (non VNET disuntikkan) ada perubahan tata letak DNS sementara. FQDN server sekarang akan menjadi CName, menyelesaikan ke rekaman A, dalam format servername.privatelink.postgres.database.azure.com. Dalam waktu dekat, format ini hanya akan berlaku ketika titik akhir privat dibuat di server.
DNS Hibrid untuk Azure dan sumber daya lokal
Domain Name System (DNS) adalah topik desain penting dalam arsitektur zona pendaratan secara keseluruhan. Beberapa organisasi mungkin ingin menggunakan investasi yang ada di DNS, sementara yang lain mungkin ingin mengadopsi kemampuan Azure asli untuk semua kebutuhan DNS mereka. Anda dapat menggunakan layanan Azure DNS Private Resolver bersama dengan Zona DNS Privat Azure untuk resolusi nama lintas tempat. Dns Private Resolver dapat meneruskan permintaan DNS ke server DNS lain dan juga menyediakan alamat IP yang dapat digunakan oleh server DNS eksternal untuk meneruskan permintaan. Jadi server DNS lokal eksternal dapat mengatasi nama yang terletak di zona DNS privat.
Informasi selengkapnya tentang menggunakan Pemecah Masalah DNS Privat dengan penerus DNS lokal untuk meneruskan lalu lintas DNS ke Azure DNS lihat dokumen ini, serta dokumen ini . Solusi yang dijelaskan memungkinkan untuk memperluas jaringan lokal yang sudah memiliki solusi DNS untuk menyelesaikan sumber daya di Azure. Arsitektur Microsoft.
Private Link dan integrasi DNS dalam arsitektur hub dan jaringan spoke
Zona DNS privat biasanya dihosting secara terpusat di langganan Azure yang sama tempat VNet hub disebarkan. Praktik hosting pusat ini didorong oleh resolusi nama DNS lintas tempat serta kebutuhan lain untuk resolusi DNS pusat seperti Active Directory Domain Services. Dalam kebanyakan kasus, hanya administrator jaringan dan identitas yang memiliki izin untuk mengelola catatan DNS di zona tersebut.
Dalam arsitektur berikut dikonfigurasi:
- Server DNS lokal memiliki penerus kondisional yang dikonfigurasi untuk setiap zona DNS publik titik akhir privat, menunjuk ke Pemecah Masalah DNS Privat yang dihosting di VNet hub.
- Pemecah Masalah DNS Privat yang dihosting di VNet hub menggunakan DNS yang disediakan Azure (168.63.129.16) sebagai penerus.
- VNet hub harus ditautkan ke nama zona DNS Privat untuk layanan Azure (seperti privatelink.postgres.database.azure.com, untuk Azure Database for PostgreSQL - Server Fleksibel).
- Semua Azure VNet menggunakan Pemecah Masalah DNS Privat yang dihosting di VNet hub.
- Karena Pemecah Masalah DNS Privat tidak otoritatif untuk domain perusahaan pelanggan, karena hanya penerus, (misalnya, nama domain Direktori Aktif), itu harus memiliki penerus titik akhir keluar ke domain perusahaan pelanggan, menunjuk ke Server DNS lokal atau server DNS yang disebarkan di Azure yang berwenang untuk zona tersebut.
Private Link dan Kelompok Keamanan Jaringan
Secara default, kebijakan jaringan dinonaktifkan untuk subnet dalam jaringan virtual. Untuk menggunakan kebijakan jaringan seperti Rute yang Ditentukan Pengguna dan dukungan Kelompok Keamanan Jaringan, dukungan kebijakan jaringan harus diaktifkan untuk subnet. Pengaturan ini hanya berlaku untuk titik akhir privat dalam subnet. Pengaturan ini memengaruhi semua titik akhir privat dalam subnet. Untuk sumber daya lain di subnet, akses dikontrol berdasarkan aturan keamanan di kelompok keamanan jaringan.
Kebijakan jaringan hanya dapat diaktifkan baik untuk Kelompok Keamanan Jaringan, hanya untuk Rute yang Ditentukan Pengguna, atau untuk keduanya. Untuk informasi selengkapnya, Anda dapat melihat dokumen Azure
Batasan untuk Kelompok Keamanan Jaringan (NSG) dan Titik Akhir Privat tercantum di sini
Penting
Perlindungan terhadap kebocoran data: Titik akhir privat dipetakan ke instans sumber daya PaaS, bukan seluruh layanan. Konsumen hanya dapat tersambung ke sumber daya tertentu. Akses ke sumber daya lain dalam layanan diblokir. Mekanisme ini memberikan perlindungan dasar terhadap risiko kebocoran data.
Private Link dikombinasikan dengan aturan firewall
Situasi dan hasil berikut ini mungkin terjadi saat Anda menggunakan Private Link bersama dengan aturan firewall:
Jika Anda tidak mengonfigurasi aturan firewall apa pun, maka secara default, tidak ada lalu lintas yang dapat mengakses instans server fleksibel Azure Database for PostgreSQL.
Jika Anda mengonfigurasikan lalu lintas publik atau titik akhir layanan dan Anda membuat titik akhir pribadi, maka berbagai jenis lalu lintas masuk diotorisasi oleh jenis aturan firewall yang sesuai.
Jika Anda tidak mengonfigurasi lalu lintas publik atau titik akhir layanan apa pun dan Anda membuat titik akhir privat, maka instans server fleksibel Azure Database for PostgreSQL hanya dapat diakses melalui titik akhir privat. Jika Anda tidak mengonfigurasi lalu lintas publik atau titik akhir layanan, setelah semua titik akhir privat yang disetujui ditolak atau dihapus, tidak ada lalu lintas yang dapat mengakses instans server fleksibel Azure Database for PostgreSQL.
Memecahkan masalah konektivitas dengan jaringan berbasis Titik Akhir Privat
Berikut ini adalah area dasar untuk memeriksa apakah Anda mengalami masalah konektivitas menggunakan jaringan berbasis Titik Akhir Privat:
- Verifikasi Penetapan Alamat IP: Periksa apakah titik akhir privat memiliki alamat IP yang benar yang ditetapkan dan tidak ada konflik dengan sumber daya lain. Untuk informasi selengkapnya tentang titik akhir privat dan IP, lihat dokumen ini
- Periksa Kelompok Keamanan Jaringan (NSG): Tinjau aturan NSG untuk subnet titik akhir privat untuk memastikan lalu lintas yang diperlukan diizinkan dan tidak memiliki aturan yang bertentangan. Untuk informasi selengkapnya tentang NSG, lihat dokumen ini
- Memvalidasi Konfigurasi Tabel Rute: Pastikan tabel rute yang terkait dengan subnet titik akhir privat dan sumber daya yang terhubung dikonfigurasi dengan benar dengan rute yang sesuai.
- Gunakan Pemantauan jaringan dan Diagnostik: Manfaatkan Azure Network Watcher untuk memantau dan mendiagnosis lalu lintas jaringan menggunakan alat seperti monitor Koneksi ion atau Packet Capture. Untuk informasi selengkapnya tentang diagnostik jaringan, lihat dokumen ini
Detail lebih lanjut tentang pemecahan masalah privat juga tersedia dalam panduan ini
Pemecahan masalah resolusi DNS dengan jaringan berbasis Titik Akhir Privat
Berikut ini adalah area dasar untuk memeriksa apakah Anda mengalami masalah resolusi DNS menggunakan jaringan berbasis Titik Akhir Privat:
- Validasi Resolusi DNS: Periksa apakah server DNS atau layanan yang digunakan oleh titik akhir privat dan sumber daya yang terhubung berfungsi dengan benar. Pastikan pengaturan DNS titik akhir privat akurat. Untuk informasi selengkapnya tentang titik akhir privat dan pengaturan zona DNS, lihat dokumen ini
- Hapus Singgahan DNS: Hapus cache DNS di titik akhir privat atau komputer klien untuk memastikan informasi DNS terbaru diambil dan menghindari kesalahan yang tidak konsisten.
- Analisis Log DNS: Tinjau log DNS untuk pesan kesalahan atau pola yang tidak biasa, seperti kegagalan kueri DNS, kesalahan server, atau batas waktu. Untuk informasi selengkapnya tentang metrik DNS, lihat dokumen ini
Langkah berikutnya
- Pelajari cara membuat instans server fleksibel Azure Database for PostgreSQL dengan menggunakan opsi Akses privat (integrasi VNet) di portal Azure atau Azure CLI.