PostgreSQL için Azure Veritabanı - Özel Bağlantı ile Esnek Sunucu ağı
Azure Özel Bağlantı, PostgreSQL için Azure Veritabanı esnek sunucu için özel uç noktalar oluşturarak sanal ağınıza getirmenizi sağlar. Bu işlevsellik, şu anda PostgreSQL için Azure Veritabanı - Esnek Sunucu ile genel kullanılabilirlik aşamasında olan sanal ağ tümleştirmesi tarafından sağlanan mevcut ağ özelliklerine ek olarak sunulmuştur.
Özel Bağlantı sayesinde sanal ağınız ile hizmet arasındaki trafik, Microsoft omurga ağına gider. Hizmetinizi genel İnternet'te kullanıma açmak artık gerekli değildir. Sanal ağınızda kendi özel bağlantı hizmetinizi oluşturup müşterilerinize teslim edebilirsiniz. Özel Bağlantı kullanarak kurulum ve tüketim, Azure PaaS, müşteriye ait ve paylaşılan iş ortağı hizmetleri arasında tutarlıdır.
Not
Özel bağlantılar yalnızca genel erişim ağına sahip sunucular için kullanılabilir. Özel erişimi (sanal ağ tümleştirmesi) olan sunucular için oluşturulamaz.
Özel bağlantılar yalnızca bu özellik yayımlandıktan sonra oluşturulan sunucular için yapılandırılabilir. Özelliğin yayımlanmasından önce var olan herhangi bir sunucu özel bağlantılarla ayarlanamaz.
Özel Bağlantı iki Azure kaynak türü aracılığıyla kullanıcılara sunulur:
- Özel uç noktalar (Microsoft.Network/PrivateEndpoints)
- Özel Bağlantı hizmetleri (Microsoft.Network/PrivateLinkServices)
Özel uç noktalar
Özel uç nokta , bir kaynağa ağ arabirimi ekleyerek sanal ağınızdan atanmış bir özel IP adresi sağlar. Uygulandıktan sonra, bu kaynakla yalnızca sanal ağ üzerinden iletişim kurabilirsiniz. Özel Bağlantı işlevselliği destekleyen PaaS hizmetlerinin listesi için Özel Bağlantı belgelerini gözden geçirin. Özel uç nokta, belirli bir sanal ağ ve alt ağ içindeki özel bir IP adresidir.
Aynı genel hizmet örneğine, çakışan adres alanları olsa bile farklı sanal ağlarda veya alt ağlarda birden çok özel uç nokta tarafından başvurulabilir.
Özel Bağlantı temel avantajları
Özel Bağlantı aşağıdaki avantajları sağlar:
- Azure platformundaki hizmetlere özel erişim: Özel uç noktaları kullanarak sanal ağınızı Azure'da uygulama bileşeni olarak kullanılabilecek tüm hizmetlere bağlayın. Hizmet sağlayıcıları hizmetlerini kendi sanal ağlarında işleyebilir. Tüketiciler bu hizmetlere yerel sanal ağlarından erişebilir. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler.
- Şirket içi ve eşlenmiş ağlar: Özel uç noktaları kullanarak Azure ExpressRoute özel eşlemesi, sanal özel ağ (VPN) tünelleri ve eşlenmiş sanal ağlar üzerinden şirket içinden Azure'da çalışan hizmetlere erişin. Hizmete ulaşmak için ExpressRoute Microsoft eşlemesini yapılandırmaya veya İnternet'ten geçiş yapmaya gerek yoktur. Özel Bağlantı, iş yüklerini Azure'a geçirmek için güvenli bir yol sağlar.
- Veri sızıntısına karşı koruma: Özel uç nokta, hizmetin tamamı yerine PaaS kaynağının bir örneğine eşlenir. Tüketiciler yalnızca belirli bir kaynağa bağlanabilir. Hizmetteki diğer kaynaklara erişim engellenir. Bu mekanizma, veri sızıntısı risklerine karşı koruma sağlar.
- Genel erişim: Diğer bölgelerde çalışan hizmetlere özel olarak bağlanın: Tüketicinin sanal ağı A bölgesinde olabilir. B bölgesindeki Özel Bağlantı arkasındaki hizmetlere bağlanabilir.
PostgreSQL için Azure Veritabanı - Esnek Sunucu ile Özel Bağlantı kullanım örnekleri
İstemciler aşağıdakilerden özel uç noktaya bağlanabilir:
- Aynı sanal ağ.
- Aynı bölgede veya bölgeler arasında eşlenmiş bir sanal ağ.
- Bölgeler arasında ağdan ağa bağlantı.
İstemciler ExpressRoute, özel eşleme veya VPN tüneli kullanarak şirket içinden de bağlanabilir. Aşağıdaki basitleştirilmiş diyagramda yaygın kullanım örnekleri gösterilmektedir.
PostgreSQL için Azure Veritabanı - Esnek Sunucu ile Özel Bağlantı için sınırlamalar ve desteklenen özellikler
PostgreSQL için Azure Veritabanı - Esnek Sunucu'daki özel uç noktalar için özellikler arası kullanılabilirlik matrisi aşağıdadır.
| Özellik | Kullanılabilirlik | Notlar |
|---|---|---|
| Yüksek kullanılabilirlik | Yes | Tasarlandığı gibi çalışır. |
| Okuma amaçlı çoğaltma | Yes | Tasarlandığı gibi çalışır. |
| Sanal uç noktalarla okuma amaçlı çoğaltma | Yes | Tasarlandığı gibi çalışır. |
| Belirli bir noktaya geri yükleme | Yes | Tasarlandığı gibi çalışır. |
| Güvenlik duvarı kurallarıyla genel/İnternet erişimine de izin verme | Yes | Tasarlandığı gibi çalışır. |
| Ana sürüm yükseltmesi | Yes | Tasarlandığı gibi çalışır. |
| Microsoft Entra doğrulaması | Yes | Tasarlandığı gibi çalışır. |
| PGBouncer ile bağlantı havuzu oluşturma | Yes | Tasarlandığı gibi çalışır. |
| Özel uç nokta DNS | Yes | Tasarlanmış ve belgelenmiş olarak çalışır. |
| Müşteri tarafından yönetilen anahtarlarla şifreleme | Yes | Tasarlandığı gibi çalışır. |
Eşlenmiş bir sanal ağdaki Azure VM'sinden bağlanma
Eşlenmiş bir sanal ağdaki Azure sanal makinesinden (VM) PostgreSQL için Azure Veritabanı Esnek Sunucu'ya bağlantı kurmak için sanal ağ eşlemesini yapılandırın.
Ağdan ağa ortamda azure vm'sinden bağlanma
Farklı bir bölgedeki veya abonelikteki Bir Azure VM'sinden PostgreSQL için Azure Veritabanı esnek bir sunucuya bağlantı kurmak için ağdan ağa VPN ağ geçidi bağlantısı yapılandırın.
VPN üzerinden şirket içi bir ortamdan bağlanma
Şirket içi ortamdan PostgreSQL için Azure Veritabanı esnek sunucuya bağlantı kurmak için seçeneklerden birini seçin ve uygulayın:
Ağ güvenliği ve Özel Bağlantı
Özel uç noktaları kullandığınızda trafiğin güvenliği özel bağlantı kaynağına sağlanır. Platform, ağ bağlantılarını doğrulayarak yalnızca belirtilen özel bağlantı kaynağına ulaşan bağlantılara izin verir. Aynı Azure hizmetinde daha fazla alt kaynak erişmek için, karşılık gelen hedeflere sahip daha fazla özel uç nokta gerekir. Örneğin Azure Depolama söz konusu olduğunda, dosyaya ve blob alt kaynaklarına erişmek için ayrı özel uç noktalara ihtiyacınız olacaktır.
Özel uç noktalar, Azure hizmeti için özel olarak erişilebilir bir IP adresi sağlar, ancak genel ağ erişimini kısıtlamaz. Ancak diğer tüm Azure hizmetleri başka bir erişim denetimi gerektirir. Bu denetimler, kaynaklarınıza ek bir ağ güvenlik katmanı sağlar ve özel bağlantı kaynağıyla ilişkili Azure hizmetine erişimi önlemeye yardımcı olan koruma sağlar.
Özel uç noktalar, ağ ilkelerini destekler. Ağ ilkeleri, ağ güvenlik grupları (NSG), kullanıcı tanımlı yollar (UDF'ler) ve uygulama güvenlik grupları (ASG) için destek sağlar. Özel uç nokta için ağ ilkelerini etkinleştirme hakkında daha fazla bilgi edinmek üzere Özel uç noktalar için ağ ilkelerini yönetme sayfasına bakın. AsG'yi özel uç noktayla kullanmak için bkz . Özel uç nokta ile uygulama güvenlik grubu yapılandırma.
Özel Bağlantı ve DNS
Özel uç nokta kullandığınızda aynı Azure hizmetine bağlanmanız ancak özel uç nokta IP adresini kullanmanız gerekir. Özel uç nokta bağlantısı, özel IP adresini kaynak adına çözümlemek için ayrı etki alanı adı sistemi (DNS) ayarları gerektirir.
Özel DNS bölgeleri, özel DNS çözümü olmayan bir sanal ağ içinde etki alanı adı çözümlemesi sağlar. Bu ağa DNS hizmetleri sağlamak için özel DNS bölgelerini her sanal ağa bağlarsınız.
Özel DNS bölgeleri, her Azure hizmeti için ayrı DNS bölgesi adları sağlar. Örneğin, önceki görüntüde depolama hesabı blob hizmeti için bir Özel DNS bölgesi yapılandırdıysanız, DNS bölgesi adı olurprivatelink.blob.core.windows.net. Tüm Azure hizmetlerinin özel DNS bölgesi adlarının daha fazlasını görmek için Microsoft belgelerini gözden geçirin.
Not
Özel uç nokta Özel DNS bölge yapılandırmaları yalnızca önerilen adlandırma düzenini kullanırsanız otomatik olarak oluşturulur: privatelink.postgres.database.azure.com.
Yeni sağlanan genel erişim (sanal ağ eklememiş) sunucularda DNS düzeninde bir değişiklik olacaktır. Sunucunun FQDN'si artık formda servername.postgres.database.azure.com bir CName kaydına dönüşür ve bu kayıt aşağıdaki biçimlerden birinde bir A kaydına işaret eder:
- Sunucuda varsayılan özel dns bölgesi bağlantılı özel uç nokta varsa, A kaydı şu biçimde olur:
server_name.privatelink.postgres.database.azure.com. - Sunucuda Özel Uç Nokta yoksa, A kaydı bu biçimde
server_name.rs-<15 semi-random bytes>.postgres.database.azure.comolur.
Azure ve şirket içi kaynaklar için karma DNS
DNS, genel giriş bölgesi mimarisinde kritik bir tasarım konusudur. Bazı kuruluşlar dns'de mevcut yatırımlarını kullanmak isteyebilir. Diğerleri tüm DNS gereksinimleri için yerel Azure özelliklerini benimsemek isteyebilir.
Şirket içi ad çözümlemesi için Azure DNS Özel Çözümleyicisi'ni Azure Özel DNS bölgeleriyle birlikte kullanabilirsiniz. DNS Özel Çözümleyicisi bir DNS isteğini başka bir DNS sunucusuna iletebilir ve ayrıca istekleri iletmek için dış DNS sunucusu tarafından kullanılabilecek bir IP adresi sağlar. Bu nedenle, dış şirket içi DNS sunucuları Özel DNS bir bölgede bulunan adları çözümleyebiliyor.
DNS trafiğini Azure DNS'ye iletmek için bir şirket içi DNS ileticisi ile DNS Özel Çözümleyicisi kullanma hakkında daha fazla bilgi için bkz:
- Azure özel uç nokta DNS tümleştirmesi
- Şirket içi iş yükü için Azure Özel Çözümleyici ile özel uç nokta DNS altyapısı oluşturma
Açıklanan çözümler, mimarideki kaynakları Azure.Microsoft çözümlemek için zaten bir DNS çözümü olan bir şirket içi ağı genişletir.
Merkez-uç ağ mimarilerinde Özel Bağlantı ve DNS tümleştirmesi
Özel DNS bölgeleri genellikle merkez sanal ağının dağıtıldığı Azure aboneliğinde merkezi olarak barındırılır. Bu merkezi barındırma uygulaması, şirket içi dns ad çözümlemesi ve Microsoft Entra gibi merkezi DNS çözümlemesi için diğer gereksinimlere göre yönlendirilir. Çoğu durumda, yalnızca ağ ve kimlik yöneticilerinin bölgelerdeki DNS kayıtlarını yönetme izinleri vardır.
Bu mimaride aşağıdaki bileşenler yapılandırılır:
- Şirket içi DNS sunucularının her özel uç nokta genel DNS bölgesi için yapılandırılmış koşullu ileticileri vardır ve merkez sanal ağında barındırılan Özel DNS Çözümleyicisi'ne işaret eder.
- Merkez sanal ağında barındırılan Özel DNS Çözümleyicisi, iletici olarak Azure tarafından sağlanan DNS'yi (168.63.129.16) kullanır.
- Hub sanal ağı, Azure hizmetlerinin Özel DNS bölge adlarına bağlanmalıdır (örneğin
privatelink.postgres.database.azure.com, PostgreSQL için Azure Veritabanı için - Esnek Sunucu). - Tüm Azure sanal ağları, merkez sanal ağında barındırılan Özel DNS Çözümleyici'yi kullanır.
- Özel DNS Çözümleyicisi, yalnızca bir iletici (örneğin, Microsoft Entra etki alanı adları) olduğundan müşterinin şirket etki alanları için yetkili değildir; müşterinin şirket etki alanlarına giden uç nokta ileticileri olmalıdır ve bu tür bölgeler için yetkili olan şirket içi DNS sunucularına veya Azure'da dağıtılan DNS sunucularına işaret etmelidir.
Özel Bağlantı ve ağ güvenlik grupları
Varsayılan olarak, bir sanal ağdaki alt ağ için ağ ilkeleri devre dışı bırakılır. UDR ve NSG desteği gibi ağ ilkelerini kullanmak için alt ağ için ağ ilkesi desteğini etkinleştirmeniz gerekir. Bu ayar yalnızca alt ağ içindeki özel uç noktalar için geçerlidir. Bu ayar alt ağ içindeki tüm özel uç noktaları etkiler. Alt ağdaki diğer kaynaklar için erişim, NSG'deki güvenlik kurallarına göre denetlenmektedir.
Ağ ilkelerini yalnızca NSG'ler için, yalnızca UDR'ler için veya her ikisi için etkinleştirebilirsiniz. Daha fazla bilgi için bkz . Özel uç noktalar için ağ ilkelerini yönetme.
NSG'ler ve özel uç noktalara yönelik sınırlamalar Özel uç nokta nedir? bölümünde listelenmiştir.
Önemli
Veri sızıntısına karşı koruma: Özel uç nokta, hizmetin tamamı yerine PaaS kaynağının bir örneğine eşlenir. Tüketiciler yalnızca belirli bir kaynağa bağlanabilir. Hizmetteki diğer kaynaklara erişim engellenir. Bu mekanizma, veri sızıntısı risklerine karşı temel koruma sağlar.
Güvenlik duvarı kurallarıyla birlikte Özel Bağlantı
Güvenlik duvarı kurallarıyla birlikte Özel Bağlantı kullandığınızda aşağıdaki durumlar ve sonuçlar mümkündür:
Herhangi bir güvenlik duvarı kuralı yapılandırmazsanız, trafik varsayılan olarak PostgreSQL için Azure Veritabanı esnek sunucuya erişemez.
Genel trafiği veya bir hizmet uç noktasını yapılandırıp özel uç noktalar oluşturursanız, ilgili güvenlik duvarı kuralı türüne göre farklı türlerde gelen trafik yetkilendirilmektedir.
Genel trafik veya hizmet uç noktası yapılandırmazsanız ve özel uç noktalar oluşturursanız, PostgreSQL için Azure Veritabanı esnek sunucusuna yalnızca özel uç noktalar üzerinden erişilebilir. Genel trafiği veya hizmet uç noktasını yapılandırmazsanız, onaylanan tüm özel uç noktalar reddedildikten veya silindikten sonra, esnek PostgreSQL için Azure Veritabanı sunucuya hiçbir trafik erişemez.
Özel uç nokta tabanlı ağ ile ilgili bağlantı sorunlarını giderme
Özel uç nokta tabanlı ağ kullanırken bağlantı sorunlarınız varsa aşağıdaki alanları denetleyin:
- IP adresi atamalarını doğrulama: Özel uç noktanın doğru IP adresinin atandığını ve diğer kaynaklarla çakışma olmadığını denetleyin. Özel uç noktalar ve IP hakkında daha fazla bilgi için bkz . Azure özel uç noktalarını yönetme.
- NSG'leri denetleyin: Gerekli trafiğe izin verildiğinden ve çakışan kurallara sahip olmadığından emin olmak için özel uç noktanın alt ağı için NSG kurallarını gözden geçirin. NSG'ler hakkında daha fazla bilgi için bkz . Ağ güvenlik grupları.
- Yönlendirme tablosu yapılandırmasını doğrulama: Özel uç noktanın alt ağıyla ilişkili yol tablolarının ve bağlı kaynakların uygun yollarla doğru yapılandırıldığından emin olun.
- Ağ izleme ve tanılamayı kullanma: Bağlantı İzleyicisi veya Paket Yakalama gibi araçları kullanarak ağ trafiğini izlemek ve tanılamak için Azure Ağ İzleyicisi kullanın. Ağ tanılama hakkında daha fazla bilgi için bkz. Azure Ağ İzleyicisi nedir?.
Özel uç noktaları giderme hakkında daha fazla bilgi için Bkz. Azure özel uç nokta bağlantı sorunlarını giderme.
Özel uç nokta tabanlı ağ ile DNS çözümleme sorunlarını giderme
Özel uç nokta tabanlı ağ kullanırken DNS çözümleme sorunlarınız varsa aşağıdaki alanları denetleyin:
- DNS çözümlemesini doğrulama: Özel uç nokta ve bağlı kaynaklar tarafından kullanılan DNS sunucusunun veya hizmetinin düzgün çalıştığını denetleyin. Özel uç noktanın DNS ayarlarının doğru olduğundan emin olun. Özel uç noktalar ve DNS bölgesi ayarları hakkında daha fazla bilgi için bkz. Azure özel uç noktası Özel DNS bölge değerleri.
- DNS önbelleğini temizleme: En son DNS bilgilerinin alındığından emin olmak ve tutarsız hataları önlemek için özel uç nokta veya istemci makinesindeki DNS önbelleğini temizleyin.
- DNS günlüklerini analiz etme: DNS sorgu hataları, sunucu hataları veya zaman aşımları gibi hata iletileri veya olağan dışı desenler için DNS günlüklerini gözden geçirin. DNS ölçümleri hakkında daha fazla bilgi için bkz . Azure DNS ölçümleri ve uyarıları.
İlgili içerik
Azure portalında veya Azure CLI'da Özel erişim (VNet tümleştirmesi) seçeneğini kullanarak PostgreSQL için Azure Veritabanı esnek sunucu oluşturmayı öğrenin.