Base de Dados do Azure para PostgreSQL - rede de Servidor Flexível com Private Link
O Azure Private Link permite que você crie pontos de extremidade privados para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível para trazê-lo para dentro de sua rede virtual. Essa funcionalidade é introduzida além dos recursos de rede já existentes fornecidos pela integração de rede virtual, que atualmente está em disponibilidade geral com o Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
Com o Private Link, o tráfego entre a sua rede virtual e o serviço percorre a rede principal da Microsoft. Expor o seu serviço à Internet pública já não é necessário. Pode criar o seu próprio serviço de ligação privada na sua rede virtual e fornecê-lo aos seus clientes. A configuração e o consumo usando o Private Link são consistentes em todos os serviços de PaaS do Azure, de propriedade do cliente e de parceiros compartilhados.
Nota
Os links privados estão disponíveis apenas para servidores que têm rede de acesso público. Eles não podem ser criados para servidores que têm acesso privado (integração de rede virtual).
Os links privados só podem ser configurados para servidores que foram criados após o lançamento desse recurso. Qualquer servidor que existia antes do lançamento do recurso não pode ser configurado com links privados.
O Link Privado é exposto aos usuários por meio de dois tipos de recursos do Azure:
- Pontos de extremidade privados (Microsoft.Network/PrivateEndpoints)
- Serviços de Link Privado (Microsoft.Network/PrivateLinkServices)
Pontos finais privados
Um ponto de extremidade privado adiciona uma interface de rede a um recurso, fornecendo-lhe um endereço IP privado atribuído a partir da sua rede virtual. Depois de aplicado, você pode se comunicar com este recurso exclusivamente através da rede virtual. Para obter uma lista dos serviços PaaS que suportam a funcionalidade Private Link, consulte a documentação do Private Link. Um ponto de extremidade privado é um endereço IP privado dentro de uma rede virtual específica e uma sub-rede.
A mesma instância de serviço público pode ser referenciada por vários pontos de extremidade privados em diferentes redes virtuais ou sub-redes, mesmo que eles tenham espaços de endereço sobrepostos.
Principais benefícios do Private Link
O Private Link oferece os seguintes benefícios:
- Serviços de acesso privado na plataforma Azure: conecte sua rede virtual usando pontos de extremidade privados a todos os serviços que podem ser usados como componentes de aplicativo no Azure. Os prestadores de serviços podem prestar os seus serviços na sua própria rede virtual. Os consumidores podem aceder a esses serviços na sua rede virtual local. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure.
- Redes locais e emparelhadas: aceda a serviços em execução no Azure a partir do local através do emparelhamento privado da Rota Expressa do Azure, túneis de rede privada virtual (VPN) e redes virtuais emparelhadas utilizando pontos de extremidade privados. Não há necessidade de configurar o emparelhamento Microsoft ExpressRoute ou atravessar a Internet para chegar ao serviço. O Private Link fornece uma maneira segura de migrar cargas de trabalho para o Azure.
- Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço está bloqueado. Este mecanismo fornece proteção contra riscos de fuga de dados.
- Alcance global: conecte-se de forma privada a serviços executados em outras regiões: a rede virtual do consumidor pode estar na região A. Ele pode se conectar a serviços por trás do Private Link na região B.
Casos de uso do Link Privado com o Banco de Dados do Azure para PostgreSQL - Servidor Flexível
Os clientes podem se conectar ao ponto de extremidade privado a partir de:
- A mesma rede virtual.
- Uma rede virtual emparelhada na mesma região ou entre regiões.
- Uma ligação rede-a-rede entre regiões.
Os clientes também podem se conectar localmente usando a Rota Expressa, emparelhamento privado ou túnel VPN. O diagrama simplificado a seguir mostra os casos de uso comuns.
Limitações e recursos suportados para Link Privado com o Banco de Dados do Azure para PostgreSQL - Servidor Flexível
Aqui está uma matriz de disponibilidade entre recursos para pontos de extremidade privados no Banco de Dados do Azure para PostgreSQL - Servidor Flexível.
Caraterística | Disponibilidade | Notas |
---|---|---|
Elevada disponibilidade | Sim | Funciona como projetado. |
Ler réplica | Sim | Funciona como projetado. |
Réplica de leitura com pontos de extremidade virtuais | Sim | Funciona como projetado. |
Restauro para um ponto anterior no tempo | Sim | Funciona como projetado. |
Permitir também o acesso público/à Internet com regras de firewall | Sim | Funciona como projetado. |
Atualização da versão principal | Sim | Funciona como projetado. |
Autenticação do Microsoft Entra | Sim | Funciona como projetado. |
Pool de conexões com PGBouncer | Sim | Funciona como projetado. |
DNS de ponto de extremidade privado | Sim | Funciona como projetado e documentado. |
Encriptação com chaves geridas pelo cliente | Sim | Funciona como projetado. |
Conectar-se a partir de uma VM do Azure em uma rede virtual emparelhada
Configure o emparelhamento de rede virtual para estabelecer conectividade com o Banco de Dados do Azure para PostgreSQL - Servidor Flexível a partir de uma máquina virtual (VM) do Azure em uma rede virtual emparelhada.
Conectar-se de uma VM do Azure em um ambiente de rede para rede
Configure uma conexão de gateway VPN de rede para rede para estabelecer conectividade com um banco de dados do Azure para servidor flexível PostgreSQL a partir de uma VM do Azure em uma região ou assinatura diferente.
Conecte-se a partir de um ambiente local por VPN
Para estabelecer conectividade de um ambiente local com o Banco de Dados do Azure para servidor flexível PostgreSQL, escolha e implemente uma das opções:
Segurança de rede e Private Link
Quando você usa pontos de extremidade privados, o tráfego é protegido para um recurso de link privado. A plataforma valida conexões de rede, permitindo apenas as conexões que alcançam o recurso de link privado especificado. Para acessar mais subrecursos dentro do mesmo serviço do Azure, são necessários mais pontos de extremidade privados com destinos correspondentes. No caso do Armazenamento do Azure, por exemplo, você precisaria de pontos de extremidade privados separados para acessar os subrecursos de arquivo e blob.
Os pontos de extremidade privados fornecem um endereço IP acessível de forma privada para o serviço do Azure, mas não necessariamente restringem o acesso à rede pública a ele. No entanto, todos os outros serviços do Azure exigem outro controle de acesso. Esses controles fornecem uma camada de segurança de rede extra para seus recursos, fornecendo proteção que ajuda a impedir o acesso ao serviço do Azure associado ao recurso de link privado.
Os pontos finais privados suportam políticas de rede. As diretivas de rede permitem o suporte para grupos de segurança de rede (NSGs), rotas definidas pelo usuário (UDRs) e grupos de segurança de aplicativos (ASGs). Para obter mais informações sobre como ativar políticas de rede para um ponto final privado, veja Gerir políticas de rede para pontos finais privados. Para usar um ASG com um ponto de extremidade privado, consulte Configurar um grupo de segurança de aplicativo com um ponto de extremidade privado.
Link privado e DNS
Quando você usa um ponto de extremidade privado, precisa se conectar ao mesmo serviço do Azure, mas usar o endereço IP do ponto de extremidade privado. A conexão íntima do ponto de extremidade requer configurações separadas do sistema de nomes de domínio (DNS) para resolver o endereço IP privado para o nome do recurso.
As zonas DNS privadas fornecem resolução de nomes de domínio dentro de uma rede virtual sem uma solução DNS personalizada. Você vincula as zonas DNS privadas a cada rede virtual para fornecer serviços DNS a essa rede.
As zonas DNS privadas fornecem nomes de zona DNS separados para cada serviço do Azure. Por exemplo, se você configurou uma zona DNS privada para o serviço de blob da conta de armazenamento na imagem anterior, o nome da zona DNS será privatelink.blob.core.windows.net
. Consulte a documentação da Microsoft para ver mais nomes de zonas DNS privadas para todos os serviços do Azure.
Nota
Ponto de extremidade privado As configurações de zona DNS privada são geradas automaticamente somente se você usar o esquema de nomenclatura recomendado: privatelink.postgres.database.azure.com
.
Em servidores de acesso público recém-provisionados (rede não virtual injetada), haverá uma alteração no layout DNS. O FQDN do servidor agora se torna um registro CName na forma servername.postgres.database.azure.com
que apontará para um registro A em um dos seguintes formatos:
- Se o servidor tiver um ponto de extremidade privado com uma zona dns privada padrão vinculada, o registro A estará neste formato:
server_name.privatelink.postgres.database.azure.com
. - Se o servidor não tiver pontos de extremidade privados, o registro A estará neste formato
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com
.
DNS híbrido para Azure e recursos locais
O DNS é um tópico de design crítico na arquitetura geral da zona de aterrissagem. Algumas organizações podem querer usar seus investimentos existentes em DNS. Outros podem querer adotar recursos nativos do Azure para todas as suas necessidades de DNS.
Você pode usar o Resolvedor Privado de DNS do Azure junto com as zonas de DNS Privado do Azure para resolução de nomes entre locais. O DNS Private Resolver pode encaminhar uma solicitação DNS para outro servidor DNS e também fornece um endereço IP que pode ser usado por um servidor DNS externo para encaminhar solicitações. Assim, os servidores DNS externos locais são capazes de resolver nomes localizados em uma zona DNS privada.
Para obter mais informações sobre como usar o DNS Private Resolver com um encaminhador DNS local para encaminhar o tráfego DNS para o DNS do Azure, consulte:
- Integração DNS do ponto de extremidade privado do Azure
- Criar uma infraestrutura DNS de ponto de extremidade privado com o Resolvedor Privado do Azure para uma carga de trabalho local
As soluções descritas estendem uma rede local que já tem uma solução DNS para resolver recursos na Azure.Microsoft
arquitetura.
Integração de Link Privado e DNS em arquiteturas de rede hub-and-spoke
As zonas DNS privadas normalmente são hospedadas centralmente na mesma assinatura do Azure em que a rede virtual do hub é implantada. Essa prática de hospedagem central é impulsionada pela resolução de nomes DNS entre locais e outras necessidades de resolução DNS central, como o Microsoft Entra. Na maioria dos casos, apenas os administradores de rede e identidade têm permissões para gerenciar registros DNS nas zonas.
Nessa arquitetura, os seguintes componentes são configurados:
- Os servidores DNS locais têm encaminhadores condicionais configurados para cada zona DNS pública de ponto de extremidade privado, apontando para o Resolvedor de DNS Privado hospedado na rede virtual do hub.
- O Resolvedor de DNS Privado hospedado na rede virtual do hub usa o DNS fornecido pelo Azure (168.63.129.16) como um encaminhador.
- A rede virtual do hub deve estar vinculada aos nomes de zona DNS privado para serviços do Azure (como
privatelink.postgres.database.azure.com
, para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível). - Todas as redes virtuais do Azure usam o Private DNS Resolver hospedado na rede virtual do hub.
- O Resolvedor de DNS Privado não é autoritativo para os domínios corporativos de um cliente porque é apenas um encaminhador (por exemplo, nomes de domínio do Microsoft Entra), ele deve ter encaminhadores de ponto de extremidade de saída para os domínios corporativos do cliente, apontando para os servidores DNS locais ou servidores DNS implantados no Azure que são autorizados para essas zonas.
Link privado e grupos de segurança de rede
Por padrão, as diretivas de rede são desabilitadas para uma sub-rede em uma rede virtual. Para utilizar políticas de rede como UDRs e suporte a NSGs, você deve habilitar o suporte a políticas de rede para a sub-rede. Essa configuração é aplicável somente a pontos de extremidade privados dentro da sub-rede. Essa configuração afeta todos os pontos de extremidade privados dentro da sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base em regras de segurança no NSG.
Você pode habilitar políticas de rede somente para NSGs, somente UDRs ou para ambos. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.
As limitações para NSGs e pontos de extremidade privados estão listadas em O que é um ponto de extremidade privado?.
Importante
Proteção contra vazamento de dados: um ponto de extremidade privado é mapeado para uma instância de um recurso PaaS em vez de todo o serviço. Os consumidores só podem se conectar ao recurso específico. O acesso a qualquer outro recurso no serviço está bloqueado. Este mecanismo fornece proteção básica contra riscos de vazamento de dados.
Private Link combinado com regras da firewall
As seguintes situações e resultados são possíveis quando você usa o Private Link em combinação com regras de firewall:
Se você não configurar nenhuma regra de firewall, por padrão, o tráfego não poderá acessar o Banco de Dados do Azure para servidor flexível PostgreSQL.
Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, diferentes tipos de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.
Se você não configurar nenhum ponto de extremidade de serviço ou tráfego público e criar pontos de extremidade privados, o servidor flexível do Banco de Dados do Azure para PostgreSQL será acessível somente por meio de pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidade privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o Banco de Dados do Azure para servidor flexível PostgreSQL.
Solucionar problemas de conectividade com rede privada baseada em ponto de extremidade
Se você tiver problemas de conectividade ao usar a rede privada baseada em endpoint, verifique as seguintes áreas:
- Verificar atribuições de endereços IP: verifique se o ponto de extremidade privado tem o endereço IP correto atribuído e se não há conflitos com outros recursos. Para obter mais informações sobre pontos de extremidade privados e IP, consulte Gerenciar pontos de extremidade privados do Azure.
- Verifique os NSGs: revise as regras do NSG para a sub-rede do ponto de extremidade privado para garantir que o tráfego necessário seja permitido e não tenha regras conflitantes. Para obter mais informações sobre NSGs, consulte Grupos de segurança de rede.
- Validar a configuração da tabela de rotas: verifique se as tabelas de rotas associadas à sub-rede do ponto de extremidade privado e os recursos conectados estão configurados corretamente com as rotas apropriadas.
- Usar monitoramento e diagnóstico de rede: use o Observador de Rede do Azure para monitorar e diagnosticar o tráfego de rede usando ferramentas como o Monitor de Conexão ou a Captura de Pacotes. Para obter mais informações sobre diagnósticos de rede, consulte O que é o Azure Network Watcher?.
Mais informações sobre como solucionar problemas de pontos de extremidade privados também estão disponíveis em Solucionar problemas de conectividade de ponto de extremidade privado do Azure.
Solucionar problemas de resolução de DNS com rede privada baseada em ponto de extremidade
Se você tiver problemas de resolução de DNS ao usar a rede privada baseada em ponto de extremidade, verifique as seguintes áreas:
- Validar resolução de DNS: verifique se o servidor DNS ou serviço usado pelo ponto de extremidade privado e os recursos conectados estão funcionando corretamente. Verifique se as configurações de DNS do ponto de extremidade privado estão corretas. Para obter mais informações sobre pontos de extremidade privados e configurações de zona DNS, consulte Valores de zona DNS privada do ponto de extremidade privado do Azure.
- Limpe o cache DNS: limpe o cache DNS no ponto de extremidade privado ou na máquina cliente para garantir que as informações DNS mais recentes sejam recuperadas e para evitar erros inconsistentes.
- Analisar logs DNS: revise os logs DNS em busca de mensagens de erro ou padrões incomuns, como falhas de consulta DNS, erros de servidor ou tempos limites. Para obter mais informações sobre métricas de DNS, consulte Métricas e alertas de DNS do Azure.
Conteúdos relacionados
Saiba como criar um Banco de Dados do Azure para servidor flexível PostgreSQL usando a opção Acesso privado (integração VNet) no portal do Azure ou na CLI do Azure.