Créer et gérer des règles de pare-feu Azure Database pour PostgreSQL – Serveur flexible à l’aide d’Azure CLI
S’APPLIQUE À : Azure Database pour PostgreSQL : serveur flexible
Le serveur flexible Azure Database pour PostgreSQL prend en charge deux types de méthodes de connectivité réseau mutuellement exclusives pour se connecter à votre instance de serveur flexible Azure Database for PostgreSQL. Les deux options sont les suivantes :
- Accès public (adresses IP autorisées). Cette méthode peut être sécurisée davantage en utilisant la mise en réseau basée sur Private Link avec le serveur flexible Azure Database pour PostgreSQL en préversion.
- Accès privé (intégration au réseau virtuel)
Cet article est axé sur la création d’une instance de serveur flexible Azure Database pour PostgreSQL avec accès public (adresses IP autorisées) à l’aide d’Azure CLI, et fournit une vue d’ensemble des commandes Azure CLI que vous pouvez utiliser pour créer, mettre à jour, supprimer, lister et afficher les règles de pare-feu après la création du serveur. L’accès public (adresses IP autorisées) fait en sorte que les connexions à l’instance de serveur flexible Azure Database pour PostgreSQL sont limitées aux seules adresses IP autorisées. Les adresses IP des clients doivent être autorisées dans les règles de pare-feu. Pour en savoir plus à ce sujet, consultez Accès public (adresses IP autorisées). Vous pouvez définir les règles de pare-feu au moment de la création du serveur (recommandé), mais aussi les ajouter ultérieurement.
Lancement d’Azure Cloud Shell
Azure Cloud Shell est un interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour exécuter les étapes de cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte.
Pour ouvrir Cloud Shell, sélectionnez simplement Essayer en haut à droite d’un bloc de code. Vous pouvez également ouvrir Cloud Shell dans un onglet distinct du navigateur en accédant à https://shell.azure.com/bash. Sélectionnez Copier pour copier les blocs de code, collez-les dans Cloud Shell et sélectionnez Entrée pour les exécuter.
Si vous préférez installer et utiliser l’interface de ligne de commande en local, ce guide de démarrage rapide nécessite au minimum la version 2.0 d’Azure CLI. Exécutez az --version
pour trouver la version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
Prérequis
Vous devez vous connecter à votre compte avec la commande az login. Notez la propriété ID, qui fait référence à l’ID d’abonnement de votre compte Azure.
az login
Sélectionnez l’abonnement spécifique sous votre compte à l’aide de la commande az account set. Notez la valeur ID issue de la commande az login ; vous devez vous en servir comme valeur de l’argument subscription dans la commande. Si vous avez plusieurs abonnements, sélectionnez l’abonnement approprié dans lequel la ressource doit être facturée. Pour accéder à l’ensemble de votre abonnement, utilisez az account list.
az account set --subscription <subscription id>
Créer une règle de pare-feu lors de la création d’une instance de serveur flexible Azure Database pour PostgreSQL à l’aide d’Azure CLI
Vous pouvez utiliser la commande az postgres flexible-server --public access
pour créer l’instance de serveur flexible Azure Database pour PostgreSQL avec un accès public (adresses IP autorisées) et configurer les règles de pare-feu lors de la création de l’instance de serveur flexible Azure Database pour PostgreSQL. Vous pouvez utiliser le commutateur --public-access pour fournir les adresses IP autorisées qui pourront se connecter au serveur. Vous pouvez fournir une adresse IP ou une plage d’adresses IP à inclure dans la liste des adresses IP autorisées. Les adresses IP de la plage doivent être séparées par des tirets et ne doivent pas contenir d’espaces. Il existe différentes options pour créer une instance de serveur flexible Azure Database pour PostgreSQL à l’aide d’une CLI, tel qu’illustré dans les exemples suivants.
Pour obtenir la liste complète des paramètres CLI configurables, consultez la documentation de référence d’Azure CLI. Par exemple, dans les commandes ci-dessous, vous pouvez éventuellement spécifier le groupe de ressources.
Créez une instance de serveur flexible Azure Database pour PostgreSQL avec accès public et ajoutez l’adresse IP du client pour avoir accès au serveur :
az postgres flexible-server create --public-access <my_client_ip>
Créez une instance de serveur flexible Azure Database pour PostgreSQL avec accès public et ajoutez la plage d’adresses IP pour avoir accès au serveur :
az postgres flexible-server create --public-access <start_ip_address-end_ip_address>
Créez une instance de serveur flexible Azure Database pour PostgreSQL avec accès public et autorisez les applications en provenance d’adresses IP Azure à se connecter à votre instance de serveur flexible Azure Database pour PostgreSQL :
az postgres flexible-server create --public-access 0.0.0.0
Important
Cette option configure le pare-feu pour autoriser l’accès public à partir de services Azure et de ressources Azure à ce serveur, y compris les connexions à partir d’abonnements d’autres clients. Lorsque vous sélectionnez cette option, vérifiez que votre connexion et vos autorisations utilisateur limitent l’accès aux seuls utilisateurs autorisés.
-
- Créez une instance de serveur flexible Azure Database pour PostgreSQL avec accès public et autorisez toutes les adresses IP :
az postgres flexible-server create --public-access all
Remarque
La commande précédente crée une règle de pare-feu avec une adresse IP de début=0.0.0.0, une adresse IP de fin=255.255.255.255 et aucune adresse IP bloquée. N’importe quel hôte sur internet peut accéder à ce serveur. Il est fortement recommandé de n’utiliser cette règle que de manière temporaire et sur les serveurs de test ne contenant pas de données sensibles.
- Créez une instance de serveur flexible Azure Database pour PostgreSQL avec accès public et autorisez toutes les adresses IP :
Créez une instance de serveur flexible Azure Database pour PostgreSQL avec accès public et sans adresse IP :
az postgres flexible-server create --public-access none
Remarque
Nous ne recommandons pas de créer un serveur sans règles de pare-feu. Si vous n’ajoutez pas de règle de pare-feu, aucun client ne pourra se connecter au serveur.
Créer et gérer une règle de pare-feu après la création du serveur
La commande Azure CLI az postgres flexible-server firewall-rule permet de créer, supprimer, lister, afficher et mettre à jour des règles de pare-feu.
Commandes :
- create : crée une règle de pare-feu de serveur flexible Azure Database pour PostgreSQL.
- list : répertorie les règles de pare-feu du serveur flexible Azure Database pour PostgreSQL.
- update : met à jour une règle de pare-feu de serveur flexible Azure Database pour PostgreSQL.
- show : affiche les détails d’une règle de pare-feu de serveur flexible Azure Database pour PostgreSQL.
- delete : supprime une règle de pare-feu de serveur flexible Azure Database pour PostgreSQL.
Pour obtenir la liste complète des paramètres CLI configurables, consultez la documentation de référence d’Azure CLI. Par exemple, dans les commandes suivantes, vous pouvez éventuellement spécifier le groupe de ressources.
Créer une règle de pare-feu
Utilisez la commande az postgres flexible-server firewall-rule create
pour créer une règle de pare-feu sur le serveur.
Pour accorder l’accès à une plage d’adresses IP, indiquez l’adresse IP de début et l’adresse IP de fin, comme dans cet exemple. Cette commande attend également un nom de groupe de ressources Azure où se trouve le serveur en tant que paramètre.
az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15
Pour accorder l’accès à une adresse IP, il vous suffit de fournir une adresse IP, comme dans cet exemple.
az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 1.1.1.1
Pour autoriser la connexion d’applications provenant d’adresses IP Azure à votre instance de serveur flexible Azure Database pour PostgreSQL, indiquez l’adresse IP 0.0.0.0 en tant qu’adresse IP de début, comme dans cet exemple.
az postgres flexible-server firewall-rule create --name mydemoserver --resource-group testGroup --start-ip-address 0.0.0.0
Important
Cette option configure le pare-feu pour autoriser l’accès public à partir de services Azure et de ressources Azure à ce serveur, y compris les connexions à partir d’abonnements d’autres clients. Lorsque vous sélectionnez cette option, vérifiez que votre connexion et vos autorisations utilisateur limitent l’accès aux seuls utilisateurs autorisés.
En cas de réussite, la sortie de chaque commande de création affiche les détails de la règle de pare-feu que vous avez créée, au format JSON (par défaut). En cas d’échec, la sortie affiche un texte de message d’erreur.
Répertorier les règles de pare-feu
Utilisez la commande az postgres flexible-server firewall-rule list
pour lister les règles de pare-feu de serveur existantes sur le serveur. Notez que l’attribut de nom de serveur est spécifié dans le commutateur ---name.
az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup
La sortie répertorie les règles éventuelles au format JSON (par défaut). Vous pouvez utiliser le commutateur --output table** pour générer les résultats dans un format tabulaire plus lisible.
az postgres flexible-server firewall-rule list --name mydemoserver --resource-group testGroup --output table
Mettre à jour une règle de pare-feu
Utilisez la commande az postgres flexible-server firewall-rule update
pour mettre à jour une règle de pare-feu sur le serveur. Indiquez le nom de la règle de pare-feu existante en entrée, ainsi que les attributs d’adresse IP de début et de fin à mettre à jour.
az postgres flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1
En cas de réussite, la sortie de la commande affiche les détails de la règle de pare-feu que vous avez mise à jour, au format JSON (par défaut). En cas d’échec, la sortie affiche un texte de message d’erreur.
Remarque
Si la règle de pare-feu n’existe pas, elle est créée par la commande de mise à jour.
Afficher les détails d’une règle de pare-feu
Utilisez la commande az postgres flexible-server firewall-rule show
pour afficher les détails de la règle de pare-feu existante à partir du serveur. Indiquez le nom de la règle de pare-feu existante comme entrée.
az postgres flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup
En cas de réussite, la sortie de la commande affiche les détails de la règle de pare-feu que vous avez spécifiée au format JSON (par défaut). En cas d’échec, la sortie affiche un texte de message d’erreur.
Supprimer une règle de pare-feu
Utilisez la commande az postgres flexible-server firewall-rule delete
pour supprimer une règle de pare-feu existante du serveur. Indiquez le nom de la règle de pare-feu existante.
az postgres flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1 --resource-group testGroup
En cas de réussite, aucun résultat ne s’affiche. En cas d’échec, le texte du message d’erreur s’affiche.