Erstellen und Verwalten von Firewallregeln für Azure Database for PostgreSQL – Flexible Server mithilfe der Azure CLI

GILT FÜR: Azure Database for PostgreSQL – Flexibler Server

Azure Database for PostgreSQL – Flexibler Server unterstützt zwei Arten von sich gegenseitig ausschließenden Netzwerkverbindungsmethoden, mit denen eine Verbindung mit Ihrer Azure Database for PostgreSQL – Flexibler Server-Instanz hergestellt werden kann. Die zwei Optionen sind:

  • Öffentlicher Zugriff (zugelassene IP-Adressen). Diese Methode kann mithilfe eines auf Private Link basierten Netzwerks mit Azure Database for PostgreSQL Flexible Server in der Vorschauversion zusätzlich geschützt werden.
  • Privater Zugriff (VNET-Integration)

Dieser Artikel konzentriert sich auf die Erstellung einer Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff (zulässige IP-Adressen) mithilfe der Azure CLI und bietet eine Übersicht über Azure CLI-Befehle, die Sie nach der Servererstellung zum Erstellen, Aktualisieren, Löschen, Auflisten und Anzeigen von Firewallregeln verwenden können. Mit öffentlichem Zugriff (zulässige IP-Adressen) werden die Verbindungen mit der Instanz von Azure Database for PostgreSQL Flexible Server auf zulässige IP-Adressen beschränkt. Die Client-IP-Adressen müssen in Firewallregeln zugelassen werden. Weitere Informationen finden Sie unter Öffentlicher Zugriff (zugelassene IP-Adressen). Die Firewallregeln können zum Zeitpunkt der Servererstellung definiert werden (empfohlen), jedoch können sie auch später hinzugefügt werden.

Starten von Azure Cloud Shell

Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel durchführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie zum Öffnen von Cloud Shell oben rechts in einem Codeblock einfach die Option Ausprobieren. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/bash navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und wählen Sie Eingabe, um sie auszuführen.

Wenn Sie es vorziehen, die CLI lokal zu installieren und zu verwenden, müssen Sie für diesen Schnellstart mindestens Version 2.0 der Azure CLI verwenden. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Voraussetzungen

Sie müssen sich mit dem Befehl az login bei Ihrem Konto anmelden. Beachten Sie die Eigenschaft ID, die auf die Abonnement-ID für Ihr Azure-Konto verweist.

az login

Wählen Sie mithilfe des Befehls az account set das Abonnement unter Ihrem Konto aus. Notieren Sie sich aus der Ausgabe von az login den Wert für ID. Sie verwenden ihn im Befehl als Wert für das Argument subscription. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das entsprechende Abonnement aus, in dem die Ressource fakturiert sein sollte. Verwenden Sie az account list, um alle Abonnements abzurufen.

az account set --subscription <subscription id>

Erstellen einer Firewallregel während der Instanzerstellung in Azure Database for PostgreSQL Flexible Server mithilfe der Azure CLI

Sie können den Befehl az postgres flexible-server --public access verwenden, um die Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff (zulässige IP-Adressen) zu erstellen und die Firewallregeln während der Erstellung einer Instanz von Azure Database for PostgreSQL Flexible Server zu konfigurieren. Sie können die Option --public-access verwenden, um die zulässigen IP-Adressen bereitzustellen, die zum Herstellen einer Verbindung mit dem Server verwendet werden können. Sie können einen einzelnen IP-Adressbereich angeben, der in der Liste zulässiger IP-Adressen enthalten sein soll. Der IP-Adressbereich muss durch Bindestriche getrennt sein und darf keine Leerzeichen enthalten. Es gibt verschiedene Optionen zum Erstellen einer Instanz von Azure Database for PostgreSQL Flexible Server mithilfe der CLI, wie in den folgenden Beispielen veranschaulicht wird.

Die vollständige Liste von konfigurierbaren CLI-Parametern finden Sie in der Referenzdokumentation zur Azure CLI. In den folgenden Befehlen können Sie beispielsweise optional die Ressourcengruppe festlegen.

  • Erstellen Sie eine Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff, und fügen Sie für den Zugriff auf den Server eine Client-IP-Adresse hinzu:

    az postgres flexible-server create --public-access <my_client_ip>
    
  • Erstellen Sie eine Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff, und fügen Sie für den Zugriff auf diesen Server den Bereich der IP-Adresse hinzu:

    az postgres flexible-server create --public-access <start_ip_address-end_ip_address>
    
  • Erstellen Sie eine Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff, und ermöglichen Sie es Anwendungen, eine Verbindung mit Ihrer Instanz von Azure Database for PostgreSQL Flexible Server von Azure-IP-Adressen herzustellen:

    az postgres flexible-server create --public-access 0.0.0.0
    

    Wichtig

    Diese Option konfiguriert die Firewall zum Zulassen des öffentlichen Zugriffs über Azure-Dienste und -Ressourcen auf diesen Server, einschließlich Verbindungen aus Abonnements anderer Kunden. Wenn Sie diese Option auswählen, stellen Sie sicher, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer beschränken.

    • Erstellen Sie eine Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff, und lassen Sie alle IP-Adressen zu:
      az postgres flexible-server create --public-access all
      

      Hinweis

      Mit dem vorhergehenden Befehl wird eine Firewallregel mit der Start-IP-Adresse 0.0.0.0 und der End-IP-Adresse 255.255.255.255 erstellt. Dabei werden keine IP-Adressen blockiert. Jeder Host im Internet kann auf diesen Server zugreifen. Es wird dringend empfohlen, diese Regel lediglich vorübergehend und ausschließlich für Testserver zu verwenden, die keine vertraulichen Daten enthalten.

  • Erstellen Sie eine Instanz von Azure Database for PostgreSQL Flexible Server mit öffentlichem Zugriff und ohne IP-Adresse:

    az postgres flexible-server create --public-access none
    

    Hinweis

    Es wird davon abgeraten, einen Server ohne Firewallregeln zu erstellen. Wenn Sie keine Firewallregeln hinzufügen, kann kein Client eine Verbindung mit dem Server herstellen.

Erstellen und Verwalten von Firewallregeln nach der Servererstellung

Der Befehl az postgres flexible-server firewall-rule wird über die Azure CLI zum Erstellen, Löschen, Auflisten, Anzeigen und Aktualisieren von Firewallregeln verwendet.

Befehle:

  • create: Erstellen einer Firewallregel für Azure Database for PostgreSQL Flexible Server
  • list: Auflisten der Firewallregeln für Azure Database for PostgreSQL Flexible Server
  • update: Aktualisieren einer Firewallregel für Azure Database for PostgreSQL Flexible Server
  • show: Anzeigen der Details einer Firewallregel für Azure Database for PostgreSQL Flexible Server
  • delete: Löschen einer Firewallregel für Azure Database for PostgreSQL Flexible Server

Die vollständige Liste von konfigurierbaren CLI-Parametern finden Sie in der Referenzdokumentation zur Azure CLI. In den folgenden Befehlen können Sie beispielsweise optional die Ressourcengruppe angeben.

Erstellen einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule create, um die neue Firewallregel für den Server zu erstellen. Zum Zulassen eines IP-Adressbereichs geben Sie die Start- und End-IP-Adressen an (siehe Beispiel). Dieser Befehl benötigt auch den Namen der Azure-Ressourcengruppe, in der sich der Server als Parameter befindet.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Zum Zulassen des Zugriffs für nur eine einzelne IP-Adresse geben Sie lediglich die einzelne IP-Adresse an (siehe Beispiel).

az postgres flexible-server firewall-rule create --name mydemoserver  --resource-group testGroup  --start-ip-address 1.1.1.1

Damit Anwendungen die Verbindung mit Ihrer Instanz von Azure Database for PostgreSQL Flexible Server herstellen können, stellen Sie die IP-Adresse 0.0.0.0 als Start-IP wie in diesem Beispiel bereit.

az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 0.0.0.0

Wichtig

Diese Option konfiguriert die Firewall zum Zulassen des öffentlichen Zugriffs über Azure-Dienste und -Ressourcen auf diesen Server, einschließlich Verbindungen aus Abonnements anderer Kunden. Wenn Sie diese Option auswählen, stellen Sie sicher, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer beschränken.

Bei erfolgreicher Ausführung listet die Ausgabe jedes create-Befehls die Details der von Ihnen erstellten Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Auflisten von Firewallregeln

Verwenden Sie den Befehl az postgres flexible-server firewall-rule list, um die vorhandenen Firewallregeln des Servers aufzulisten. Beachten Sie, dass das Attribut für den Servernamen in der Option --name angegeben wird.

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup

Die Ausgabe listet die Regeln (sofern vorhanden) standardmäßig im JSON-Format auf. Sie können die Option „--output table“ verwenden, um die Ergebnisse in einer Tabellenformat auszugeben, das leichter zu lesen ist.

az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup --output table

Aktualisieren einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule update, um eine vorhandene Firewallregel für den Server zu aktualisieren. Geben Sie den Namen der vorhandenen Firewallregel als Eingabe sowie die zu aktualisierenden Attribute für die Start- und End-IP-Adresse ein.

az postgres flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Bei erfolgreicher Ausführung listet die Befehlsausgabe die Details der von Ihnen aktualisierten Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Hinweis

Falls die Firewallregel nicht vorhanden ist, wird sie durch den update-Befehl erstellt.

Anzeigen der Details einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule show, um Details zu einer vorhandenen Firewallregel des Servers anzuzeigen. Geben Sie den Namen der vorhandenen Firewallregel als Eingabe an.

az postgres flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Bei erfolgreicher Ausführung listet die Befehlsausgabe die Details der von Ihnen angegebenen Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Löschen einer Firewallregel

Verwenden Sie den Befehl az postgres flexible-server firewall-rule delete, um eine vorhandene Firewallregel für den Server zu löschen. Geben Sie den Namen der vorhandenen Firewallregel an.

az postgres flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup

Bei erfolgreicher Ausführung wird keine Ausgabe angezeigt. Bei einem Fehler wird eine Fehlermeldung angezeigt.

Nächste Schritte