Azure Database for PostgreSQL – sítě na flexibilním serveru s privátním propojením.
Azure Private Link umožňuje vytvářet privátní koncové body pro flexibilní server Azure Database for PostgreSQL a přenést ho do vaší virtuální sítě. Tato funkce se zavádí kromě již existujících síťových funkcí poskytovaných integrací virtuální sítě, která je v současné době obecně dostupná s flexibilním serverem Azure Database for PostgreSQL.
Při privátním propojení provoz mezi virtuální sítí a službou prochází páteřní sítí Microsoftu. Vystavení služby veřejnému internetu už není nutné. Můžete si vytvořit vlastní službu privátního propojení ve své virtuální síti a doručovat ji vašim zákazníkům. Nastavení a využití pomocí služby Private Link je konzistentní napříč Azure PaaS, zákazníky a sdílenými partnerskými službami.
Poznámka:
Privátní propojení jsou k dispozici pouze pro servery, které mají síť veřejného přístupu. Nejde je vytvořit pro servery s privátním přístupem (integrace virtuální sítě).
Privátní propojení je možné nakonfigurovat pouze pro servery vytvořené po vydání této funkce. Všechny servery, které existovaly před vydáním funkce, nelze nastavit pomocí privátních propojení.
Služba Private Link je uživatelům přístupná prostřednictvím dvou typů prostředků Azure:
- Privátní koncové body (Microsoft.Network/PrivateEndpoints)
- Služby Private Link (Microsoft.Network/PrivateLinkServices)
Privátní koncové body
Privátní koncový bod přidá do prostředku síťové rozhraní, které mu poskytne privátní IP adresu přiřazenou z vaší virtuální sítě. Po použití můžete komunikovat s tímto prostředkem výhradně prostřednictvím virtuální sítě. Seznam služeb PaaS, které podporují funkce služby Private Link, najdete v dokumentaci ke službě Private Link. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě.
Na stejnou instanci veřejné služby může odkazovat několik privátních koncových bodů v různých virtuálních sítích nebo podsítích, i když se překrývají adresní prostory.
Klíčové výhody služby Private Link
Private Link nabízí následující výhody:
- Privátní přístup ke službám na platformě Azure: Připojte virtuální síť pomocí privátních koncových bodů ke všem službám, které je možné použít jako komponenty aplikací v Azure. Poskytovatelé služeb můžou své služby vykreslit ve své vlastní virtuální síti. Uživatelé mají k těmto službám přístup ve své místní virtuální síti. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure.
- Místní a partnerské sítě: Přístup ke službám běžícím v Azure z místního prostředí přes privátní partnerský vztah Azure ExpressRoute, tunely virtuální privátní sítě (VPN) a partnerské virtuální sítě pomocí privátních koncových bodů. Pro připojení ke službě není potřeba konfigurovat partnerský vztah ExpressRoute Microsoftu ani procházet internetem. Private Link poskytuje bezpečný způsob migrace úloh do Azure.
- Ochrana před únikem dat: Privátní koncový bod je mapován na instanci prostředku PaaS místo celé služby. Uživatelé se můžou připojit pouze ke konkrétnímu prostředku. Přístup k jakémukoli jinému prostředku ve službě je zablokovaný. Tento mechanismus poskytuje ochranu před riziky úniku dat.
- Globální dosah: Privátní připojení ke službám běžícím v jiných oblastech: Virtuální síť příjemce může být v oblasti A. Může se připojit ke službám za službou Private Link v oblasti B.
Případy použití služby Private Link s flexibilním serverem Azure Database for PostgreSQL
Klienti se můžou připojit k privátnímu koncovému bodu z:
- Stejná virtuální síť.
- Partnerský vztah virtuální sítě ve stejné oblasti nebo napříč oblastmi
- Síťové připojení mezi oblastmi.
Klienti se také můžou připojit z místního prostředí pomocí ExpressRoute, privátního partnerského vztahu nebo tunelového propojení VPN. Následující zjednodušený diagram znázorňuje běžné případy použití.
Omezení a podporované funkce služby Private Link s flexibilním serverem Azure Database for PostgreSQL
Tady je matice dostupnosti napříč funkcemi pro privátní koncové body na flexibilním serveru Azure Database for PostgreSQL.
| Funkce | Dostupnost | Notes |
|---|---|---|
| Vysoká dostupnost | Ano | Funguje podle návrhu. |
| Replika pro čtení | Ano | Funguje podle návrhu. |
| Replika pro čtení s virtuálními koncovými body | Ano | Funguje podle návrhu. |
| Obnovení k určitému bodu v čase | Ano | Funguje podle návrhu. |
| Povolení veřejného nebo internetového přístupu pomocí pravidel brány firewall | Ano | Funguje podle návrhu. |
| Upgrade hlavní verze | Ano | Funguje podle návrhu. |
| Ověřování Microsoft Entra | Ano | Funguje podle návrhu. |
| Sdružování připojení pomocí PGBouncer | Ano | Funguje podle návrhu. |
| DNS privátního koncového bodu | Ano | Funguje jako navržený a zdokumentovaný. |
| Šifrování s využitím klíčů spravovaných zákazníkem | Ano | Funguje podle návrhu. |
Připojení z virtuálního počítače Azure v partnerské virtuální síti
Nakonfigurujte partnerský vztah virtuálních sítí pro navázání připojení k flexibilnímu serveru Azure Database for PostgreSQL z virtuálního počítače Azure v partnerské virtuální síti.
Připojení z virtuálního počítače Azure v síťovém prostředí
Nakonfigurujte připojení brány VPN typu síť k síti, aby bylo možné navázat připojení k flexibilnímu serveru Azure Database for PostgreSQL z virtuálního počítače Azure v jiné oblasti nebo předplatném.
Připojení z místního prostředí přes SÍŤ VPN
Pokud chcete navázat připojení z místního prostředí k flexibilnímu serveru Azure Database for PostgreSQL, zvolte a implementujte jednu z těchto možností:
Zabezpečení sítě a Private Link
Když používáte privátní koncové body, provoz je zabezpečený pro prostředek privátního propojení. Platforma ověřuje síťová připojení, což umožňuje pouze ta připojení, která se dostanou k zadanému prostředku privátního propojení. Pro přístup k více podsourcům ve stejné službě Azure se vyžaduje více privátních koncových bodů s odpovídajícími cíli. V případě Azure Storage byste například potřebovali samostatné privátní koncové body pro přístup k souboru a podsourcům objektů blob.
Privátní koncové body poskytují privátní IP adresu pro službu Azure, ale nemusí k ní nutně omezovat přístup k veřejné síti. Všechny ostatní služby Azure ale vyžadují další řízení přístupu. Tyto ovládací prvky poskytují vašim prostředkům další vrstvu zabezpečení sítě, která pomáhá zabránit přístupu ke službě Azure přidružené k prostředku privátního propojení.
Privátní koncové body podporují zásady sítě. Zásady sítě umožňují podporu skupin zabezpečení sítě (NSG), tras definovaných uživatelem (UDR) a skupin zabezpečení aplikací (ASG). Další informace o povolení zásad sítě pro privátní koncový bod najdete v tématu Správa zásad sítě pro privátní koncové body. Pokud chcete používat asG s privátním koncovým bodem, přečtěte si téma Konfigurace skupiny zabezpečení aplikace s privátním koncovým bodem.
Private Link a DNS
Když používáte privátní koncový bod, musíte se připojit ke stejné službě Azure, ale použít IP adresu privátního koncového bodu. Pro překlad privátní IP adresy na název prostředku vyžaduje připojení k důvěrnému koncovému bodu samostatné nastavení dns (Domain Name System).
Privátní DNS zóny poskytují překlad názvů domén ve virtuální síti bez vlastního řešení DNS. Privátní zóny DNS propojíte s každou virtuální sítí a poskytnete tak služby DNS této síti.
Privátní DNS zóny poskytují samostatné názvy zón DNS pro každou službu Azure. Pokud jste například nakonfigurovali zónu Privátní DNS pro službu objektů blob účtu úložiště v předchozí imagi, název zóny DNS je privatelink.blob.core.windows.net. Další informace o názvech privátních zón DNS pro všechny služby Azure najdete v dokumentaci Microsoftu.
Poznámka:
Konfigurace privátních koncových bodů Privátní DNS zón se automaticky generují pouze v případě, že použijete doporučené schéma pojmenování: privatelink.postgres.database.azure.com.
Na nově zřízených veřejných přístupových serverech (nevloženého do virtuální sítě) dojde ke změně rozložení DNS. Plně kvalifikovaný název domény serveru se teď stane záznamem CName ve formuláři servername.postgres.database.azure.com , který bude odkazovat na záznam A v jednom z následujících formátů:
- Pokud má server privátní koncový bod s výchozí propojenou zónou privátního dns, záznam A bude v tomto formátu:
server_name.privatelink.postgres.database.azure.com. - Pokud server nemá žádné privátní koncové body, záznam A bude v tomto formátu
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
Hybridní DNS pro Azure a místní prostředky
DNS je důležité téma návrhu v celkové architektuře cílové zóny. Některé organizace můžou chtít použít své stávající investice do DNS. Ostatní můžou chtít přijmout nativní funkce Azure pro všechny potřeby DNS.
Privátní překladač Azure DNS můžete použít společně s zónami Azure Privátní DNS pro překlad názvů mezi místními místy. Privátní překladač DNS může předávat požadavek DNS na jiný server DNS a také poskytuje IP adresu, kterou může externí server DNS použít k předávání požadavků. Externí místní servery DNS tedy dokážou přeložit názvy umístěné v Privátní DNS zóně.
Další informace o použití privátního překladače DNS s místním předávačem DNS k předávání provozu DNS do Azure DNS najdete tady:
- Integrace DNS privátního koncového bodu Azure
- Vytvoření infrastruktury DNS privátního koncového bodu pomocí služby Azure Private Resolver pro místní úlohu
Popsaná řešení rozšiřují místní síť, která už má řešení DNS k překladu prostředků v Azure.Microsoft architektuře.
Integrace služby Private Link a DNS v architekturách hvězdicové sítě
Privátní DNS zóny se obvykle hostují centrálně ve stejném předplatném Azure, ve kterém se nasazuje virtuální síť centra. Tento postup centrálního hostování je řízený překladem názvů DNS mezi místními místy a dalšími potřebami centrálního překladu DNS, jako je Například Microsoft Entra. Ve většině případů mají oprávnění ke správě záznamů DNS v zónách jenom správci sítí a identit.
V takové architektuře jsou nakonfigurovány následující komponenty:
- Místní servery DNS mají nakonfigurované podmíněné služby předávání pro každou veřejnou zónu DNS privátního koncového bodu, které odkazují na Privátní DNS Resolver hostovaný ve virtuální síti centra.
- Překladač Privátní DNS hostovaný ve virtuální síti centra používá dns poskytovaný službou Azure (168.63.129.16) jako předávací nástroj.
- Virtuální síť centra musí být propojená s názvy zón Privátní DNS pro služby Azure (například
privatelink.postgres.database.azure.compro flexibilní server Azure Database for PostgreSQL). - Všechny virtuální sítě Azure používají Privátní DNS Resolver hostovaný ve virtuální síti centra.
- Nástroj Privátní DNS Resolver není autoritativní pro podnikové domény zákazníka, protože se jedná pouze o předávací nástroj (například názvy domén Microsoft Entra), měl by mít odchozí služby pro předávání koncových bodů na podnikové domény zákazníka, odkazující na místní servery DNS nebo servery DNS nasazené v Azure, které jsou pro takové zóny autoritativní.
Private Link a skupiny zabezpečení sítě
Ve výchozím nastavení jsou zásady sítě pro podsíť ve virtuální síti zakázané. Pokud chcete využívat zásady sítě, jako jsou trasy definované uživatelem a podpora skupin zabezpečení sítě, musíte pro podsíť povolit podporu zásad sítě. Toto nastavení platí jenom pro privátní koncové body v rámci podsítě. Toto nastavení má vliv na všechny privátní koncové body v rámci podsítě. U jiných prostředků v podsíti se přístup řídí na základě pravidel zabezpečení ve skupině zabezpečení sítě.
Zásady sítě můžete povolit jenom pro skupiny zabezpečení sítě, jenom pro trasy definované uživatelem nebo pro obojí. Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.
Omezení skupin zabezpečení sítě a privátních koncových bodů jsou uvedená v části Co je privátní koncový bod?
Důležité
Ochrana před únikem dat: Privátní koncový bod je mapován na instanci prostředku PaaS místo celé služby. Uživatelé se můžou připojit pouze ke konkrétnímu prostředku. Přístup k jakémukoli jinému prostředku ve službě je zablokovaný. Tento mechanismus poskytuje základní ochranu před riziky úniku dat.
Private Link v kombinaci s pravidly firewallu
Při použití služby Private Link v kombinaci s pravidly brány firewall jsou možné následující situace a výsledky:
Pokud ve výchozím nastavení nenakonfigurujete žádná pravidla brány firewall, provoz nemá přístup k flexibilnímu serveru Azure Database for PostgreSQL.
Pokud nakonfigurujete veřejný provoz nebo koncový bod služby a vytvoříte privátní koncové body, budou různé typy příchozího provozu autorizované odpovídajícím typem pravidla brány firewall.
Pokud nenakonfigurujete žádný veřejný provoz nebo koncový bod služby a vytváříte privátní koncové body, flexibilní server Azure Database for PostgreSQL je přístupný jenom prostřednictvím privátních koncových bodů. Pokud nekonfigurujete veřejný provoz ani koncový bod služby, po zamítnutí nebo odstranění všech schválených privátních koncových bodů nebude mít žádný provoz přístup k flexibilnímu serveru Azure Database for PostgreSQL.
Řešení potíží s připojením k sítím založeným na privátních koncových bodech
Pokud máte problémy s připojením při používání sítí založených na privátních koncových bodech, zkontrolujte následující oblasti:
- Ověřte přiřazení IP adres: Zkontrolujte, jestli má privátní koncový bod přiřazenou správnou IP adresu a že nedošlo ke konfliktům s jinými prostředky. Další informace o privátních koncových bodech a IP adrese najdete v tématu Správa privátních koncových bodů Azure.
- Zkontrolujte skupiny zabezpečení sítě: Zkontrolujte pravidla skupiny zabezpečení sítě pro podsíť privátního koncového bodu a ujistěte se, že je povolený potřebný provoz a neobsahuje konfliktní pravidla. Další informace o skupinách zabezpečení sítě najdete v tématu Skupiny zabezpečení sítě.
- Ověřte konfiguraci směrovací tabulky: Ujistěte se, že směrovací tabulky přidružené k podsíti privátního koncového bodu a připojené prostředky jsou správně nakonfigurované s příslušnými trasami.
- Monitorování a diagnostika sítě: Pomocí služby Azure Network Watcher můžete monitorovat a diagnostikovat síťový provoz pomocí nástrojů, jako jsou Monitorování připojení nebo zachytávání paketů. Další informace o diagnostice sítě najdete v tématu Co je Azure Network Watcher?.
Další informace o řešení potíží s privátními koncovými body najdete také v článku Řešení potíží s připojením privátního koncového bodu Azure.
Řešení potíží s překladem DNS pomocí sítí založených na privátních koncových bodech
Pokud máte problémy s překladem DNS při používání sítí založených na privátních koncových bodech, zkontrolujte následující oblasti:
- Ověření překladu DNS: Zkontrolujte, jestli server DNS nebo služba používané privátním koncovým bodem a připojené prostředky fungují správně. Ujistěte se, že jsou přesná nastavení DNS privátního koncového bodu. Další informace o privátních koncových bodech a nastavení zóny DNS najdete v tématu Azure Private Endpoint Privátní DNS hodnoty zóny.
- Vymažte mezipaměť DNS: Vymažte mezipaměť DNS na privátním koncovém bodu nebo klientském počítači, abyste měli jistotu, že se načtou nejnovější informace DNS a zabrání nekonzistentním chybám.
- Analýza protokolů DNS: Zkontrolujte chybové zprávy dns nebo neobvyklé vzory, jako jsou selhání dotazů DNS, chyby serveru nebo vypršení časových limitů. Další informace o metrikách DNS najdete v tématu Metriky a upozornění Azure DNS.
Související obsah
Zjistěte, jak vytvořit flexibilní server Azure Database for PostgreSQL pomocí možnosti Privátní přístup (integrace virtuální sítě) na webu Azure Portal nebo v Azure CLI.