Azure portal を使用して Azure Database for PostgreSQL - フレキシブル サーバー用のファイアウォール規則を作成して管理する
適用対象: Azure Database for PostgreSQL - フレキシブル サーバー
Azure Database for PostgreSQL フレキシブル サーバーによって、ご利用のフレキシブル サーバーに接続するために、2 種類の相互に排他的なネットワーク接続方法がサポートされています。 次の 2 つのオプションがあります。
- パブリック アクセス (許可された IP アドレス)。 この方法は、プレビュー段階の Azure Database for PostgreSQL フレキシブル サーバーを使用した Private Link ベースのネットワークを使用すると、さらなるセキュリティ強化が可能です。
- プライベート アクセス (VNet 統合)
この記事では、Azure portal を使用してパブリック アクセス (許可された IP アドレス) を使った Azure Database for PostgreSQL フレキシブル サーバー インスタンスの作成に焦点を当て、Azure Database for PostgreSQL フレキシブル サーバー インスタンスの作成後のファイアウォール規則の管理の概要について説明します。 パブリック アクセス (許可された IP アドレス) では、Azure Database for PostgreSQL フレキシブル サーバー インスタンスへの接続は許可された IP アドレスのみに制限されます。 クライアント IP アドレスは、ファイアウォール規則で許可されている必要があります。 詳細については、「パブリック アクセス (許可された IP アドレス)」をご覧ください。 ファイアウォール規則は、サーバーの作成時に定義できます (推奨) が、後で追加することもできます。 この記事では、パブリック アクセス (許可された IP アドレス) を使用してファイアウォール規則を作成および管理する方法の概要について説明します。
サーバーの作成時にファイアウォール規則を作成する
- ポータルの左上隅にある [リソースの作成] (+) を選択します。
- [データベース]>[Azure Database for PostgreSQL] の順に選択します。 検索ボックスに「PostgreSQL」と入力してサービスを検索することもできます。
- [基本] フォームに入力します。
- [ネットワーク] タブに移動して、サーバーへの接続方法を構成します。
- [接続方法] で、 [Public access (allowed IP addresses)](パブリック アクセス (許可される IP アドレス)) を選択します。 ファイアウォール規則を作成するには、ファイアウォール規則の名前と単一の IP アドレスまたはアドレスの範囲を指定します。 規則を単一の IP アドレスに限定する場合は、[開始 IP アドレス] と [終了 IP アドレス] のフィールドに同じアドレスを入力します。 ファイアウォールを開くと、管理者、ユーザー、アプリケーションは、有効な資格情報を持つ Azure Database for PostgreSQL フレキシブル サーバー インスタンス上の任意のデータベースにアクセスできます。
Note
Azure Database for PostgreSQL フレキシブル サーバー インスタンスでは、サーバー レベルでファイアウォールが作成されます。 これにより、外部のアプリケーションやツールからの、サーバーとサーバー上のすべてのデータベースへの接続が禁止されます。接続を許可するには、特定の IP アドレスに対してファイアウォールを開放する規則を作成します。
- [確認と作成] を選択して、ご利用の Azure Database for PostgreSQL フレキシブル サーバーの構成を確認します。
- [作成] を選択して、サーバーをプロビジョニングします。 プロビジョニングには数分かかる場合があります。
サーバーを作成した後にファイアウォール規則を作成する
Azure portal で、ファイアウォール規則を追加する Azure Database for PostgreSQL フレキシブル サーバー インスタンスを選択します。
[フレキシブル サーバー] ページの [設定] の見出しで、[ネットワーク] をクリックして [ネットワーク] ページを開きます。
ファイアウォール規則で [現在のクライアント IP アドレスを追加する] を選択します。 これにより、Azure システムによって認識されたコンピューターのパブリック IP アドレスでファイアウォール規則が自動的に作成されます。
構成を保存する前に、IP アドレスを確認します。 場合によっては、Azure Portal で見られる IP アドレスは、インターネットおよび Azure サーバーにアクセスするときに使用する IP アドレスと異なることがあります。 そのため、開始 IP アドレスと終了 IP アドレスを変更してルール関数を予想どおりになるようにする必要があります。
検索エンジンまたはその他のオンライン ツールを使用して、自分の IP アドレスを確認できます。 (たとえば、"what is my IP" を検索します)。
さらにアドレス範囲を追加します。 Azure Database for PostgreSQL フレキシブル サーバー インスタンスのファイアウォール規則では、単一の IP アドレスまたはアドレスの範囲を指定できます。 規則を単一の IP アドレスに限定する場合は、[開始 IP アドレス] と [終了 IP アドレス] のフィールドに同じアドレスを入力します。 ファイアウォールを開くと、管理者、ユーザー、アプリケーションは、有効な資格情報を持つ Azure Database for PostgreSQL フレキシブル サーバー インスタンス上の任意のデータベースにアクセスできます。
ツール バーの [保存] を選択してこのファイアウォール規則を保存します。 ファイアウォール規則の更新が成功したという確認を待機します。
Azure からの接続
Azure にデプロイされたリソースまたはアプリケーションを有効にして、Azure Database for PostgreSQL フレキシブル サーバー インスタンスに接続することができます。 これには、Azure App Service でホストされる Web アプリケーション、Azure VM で実行される Web アプリケーション、Azure Data Factory データ管理ゲートウェイなどが含まれます。
Azure 内のアプリケーションがサーバーに接続しようとした場合、ファイアウォールは、Azure の接続が許可されていることを確認します。 この設定を有効にするには、ポータルの [ネットワーク] タブから [Allow public access from Azure services and resources within Azure to this server](Azure サービスおよび Azure 内のリソースからこのサーバーへのパブリックアクセスを許可する) オプションを選択し、 [保存] をクリックします。
ファイアウォール規則でこれらの接続を有効にするために、リソースが同じ仮想ネットワーク (VNet) またはリソース グループに存在する必要はありません。 接続試行が許可されていない場合、この要求は Azure Database for PostgreSQL フレキシブル サーバー インスタンスに到達しません。
重要
このオプションでは、他のお客様のサブスクリプションからの接続を含む、Azure からのすべての接続を許可するようにファイアウォールを構成します。 このオプションを選択する場合は、ログインおよびユーザーのアクセス許可が、承認されたユーザーのみにアクセスを制限していることを確認してください。
Azure Database for PostgreSQL フレキシブル サーバーに安全にアクセスするには、プライベート アクセス (VNet 統合) を選択することをお勧めします。
Azure portal で既存のファイアウォール規則を管理する
次の手順を繰り返して、ファイアウォール規則を管理します。
- 現在のコンピューターを追加するには、ファイアウォール規則で [現在のクライアント IP アドレスを追加する] を選択します。 [保存] をクリックして変更を保存します。
- さらに IP アドレスを追加するには、規則名、開始および終了 IP アドレスを入力します。 [保存] をクリックして変更を保存します。
- 既存の規則を変更するには、規則内の任意のフィールドをクリックし、変更します。 [保存] をクリックして変更を保存します。
- 既存の規則を削除するには、省略記号 [...] をクリックし、 [削除] をクリックします。 [保存] をクリックして変更を保存します。