Поделиться через


База данных Azure для PostgreSQL – гибкий сервер с сетевым доступом и поддержкой приватного канала

Приватный канал Azure позволяет создавать частные конечные точки для База данных Azure для PostgreSQL — гибкий сервер, чтобы перенести его в виртуальную сеть. Эта функция представлена в дополнение к уже существующим сетевым возможностям, предоставляемым интеграцией виртуальной сети, которая в настоящее время находится в общедоступной доступности с База данных Azure для PostgreSQL — гибкий сервер.

С помощью приватного канала трафик между виртуальной сетью и службой проходит через магистральную сеть Microsoft. Предоставление доступа к службе через общедоступный Интернет больше не требуется. Вы можете создать собственную службу приватного канала в виртуальной сети и предоставлять ее клиентам. Настройка и потребление с помощью Приватный канал согласованы в Azure PaaS, клиентских и общих партнерских службах.

Примечание.

Частные каналы доступны только для серверов с общедоступным доступом. Их нельзя создать для серверов с частным доступом (интеграция виртуальной сети).

Частные ссылки можно настроить только для серверов, созданных после выпуска этой функции. Любой сервер, существующий до выпуска компонента, не может быть установлен с закрытыми ссылками.

Приватный канал предоставляется пользователям через два типа ресурсов Azure:

  • Частные конечные точки (Microsoft.Network/PrivateEndpoints)
  • службы Приватный канал (Microsoft.Network/PrivateLinkServices)

Частные конечные точки

Частная конечная точка добавляет сетевой интерфейс к ресурсу, предоставляя ему частный IP-адрес, назначенный из виртуальной сети. После применения вы можете взаимодействовать с этим ресурсом исключительно через виртуальную сеть. Чтобы просмотреть список служб PaaS, поддерживающих функциональность Приватного канала, перейдите к документации по Приватному каналу. Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети.

Один и тот же экземпляр общедоступной службы можно ссылаться на несколько частных конечных точек в разных виртуальных сетях или подсетях, даже если они перекрывают адресные пространства.

Приватный канал предоставляет следующие преимущества:

  • Частный доступ к службам на платформе Azure. Подключение виртуальной сети с помощью частных конечных точек ко всем службам, которые можно использовать в качестве компонентов приложения в Azure. Поставщики услуг могут отображать свои службы в собственной виртуальной сети. Потребители могут получить доступ к этим службам в локальной виртуальной сети. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure.
  • Локальные и пиринговые сети: доступ к службам, работающим в Azure, из локальной среды через частный пиринг Azure ExpressRoute, туннели виртуальной частной сети (VPN) и пиринговые виртуальные сети с помощью частных конечных точек. Нет необходимости настраивать пиринг Microsoft для ExpressRoute или прокладывать канал через Интернет, чтобы получить доступ к службе. Приватный канал обеспечивает безопасный способ переносить рабочие нагрузки в Azure.
  • Защита от утечки данных: частная конечная точка сопоставляется с экземпляром ресурса PaaS вместо всей службы. Объекты-получатели могут подключаться только к определенному ресурсу. Доступ к любому другому ресурсу в службе блокируется. Этот механизм обеспечивает защиту от рисков утечки данных.
  • Глобальный охват: частное подключение к службам, работающим в других регионах: виртуальная сеть потребителя может находиться в регионе A. Он может подключаться к службам за Приватный канал в регионе B.

Клиенты могут подключаться к частной конечной точке:

  • той же виртуальной сети;
  • Одноранговая виртуальная сеть в одном регионе или между регионами.
  • Сетевое подключение между регионами.

Клиенты также могут подключаться из локальной среды с помощью ExpressRoute, частного пиринга или туннелирования VPN. На следующей упрощенной схеме показаны распространенные варианты использования.

Схема, демонстрирующая работу Приватный канал с частными конечными точками.

Ниже приведена матрица доступности между функциями для частных конечных точек в База данных Azure для PostgreSQL — гибкий сервер.

Функция Availability Примечания.
Высокая доступность Да Работает как разработанный.
Реплика чтения Да Работает как разработанный.
Чтение реплики с виртуальными конечными точками Да Работает как разработанный.
Восстановление на определенный момент времени Да Работает как разработанный.
Разрешение также общедоступного или интернет-доступа с помощью правил брандмауэра Да Работает как разработанный.
Обновление основных версий Да Работает как разработанный.
Проверка подлинности Microsoft Entra Да Работает как разработанный.
Пул подключений с помощью PGBouncer Да Работает как разработанный.
DNS частной конечной точки Да Работает как разработанный и документированный.
Шифрование с использованием управляемых клиентом ключей Да Работает как разработанный.

Подключение из виртуальной машины Azure в одноранговой виртуальной сети

Настройте пиринг виртуальной сети, чтобы установить подключение к База данных Azure для PostgreSQL — гибкий сервер из виртуальной машины Azure в одноранговой виртуальной сети.

Подключение с виртуальной машины Azure в сетевой среде

Настройте подключение VPN-шлюза сети к сети, чтобы установить подключение к База данных Azure для PostgreSQL гибкому серверу из виртуальной машины Azure в другом регионе или подписке.

Подключение из локальной среды через VPN

Чтобы установить подключение из локальной среды к гибкому серверу База данных Azure для PostgreSQL, выберите один из вариантов:

При использовании частных конечных точек трафик защищен ресурсом приватного канала. Платформа проверяет сетевые подключения, разрешая только те подключения, которые достигают указанного ресурса приватного канала. Для доступа к дополнительным подресурсам в одной службе Azure требуются дополнительные частные конечные точки с соответствующими целевыми объектами. Например, в случае служба хранилища Azure потребуется отдельная частная конечная точка для доступа к файлам и подресурсам BLOB-объектов.

Частные конечные точки предоставляют частный IP-адрес для службы Azure, но не обязательно ограничивают доступ к общедоступной сети. Однако для всех других служб Azure требуется другой контроль доступа. Эти элементы управления гарантируют дополнительный уровень безопасности сети для ресурсов, обеспечивая защиту, которая помогает предотвратить доступ к службе Azure, связанной с ресурсом приватного канала.

Частные конечные точки поддерживают политики сети. Политики сети позволяют поддерживать группы безопасности сети (NSG), определяемые пользователем маршруты (UDR) и группы безопасности приложений (ASG). Дополнительные сведения о включении политик сети для частной конечной точки см. в статье Управление политиками сети для частных конечных точек. Сведения об использовании ASG с частной конечной точкой см. в статье "Настройка группы безопасности приложений с частной конечной точкой".

При использовании частной конечной точки необходимо подключиться к той же службе Azure, но использовать IP-адрес частной конечной точки. Подключение к интимной конечной точке требует отдельных параметров системы доменных имен (DNS), чтобы разрешить частный IP-адрес имени ресурса.

Частная зона DNS зоны предоставляют разрешение доменных имен в виртуальной сети без пользовательского решения DNS. Вы связываете частные зоны DNS с каждой виртуальной сетью для предоставления служб DNS этой сети.

Частная зона DNS зоны предоставляют отдельные имена зон DNS для каждой службы Azure. Например, если вы настроили зону Частная зона DNS для службы BLOB-объектов учетной записи хранения на предыдущем изображении, имя зоны DNS — privatelink.blob.core.windows.netэто . Ознакомьтесь с документацией Майкрософт, чтобы просмотреть больше имен частных зон DNS для всех служб Azure.

Примечание.

Частная конечная точка Частная зона DNS конфигурации зоны автоматически создаются только в том случае, если используется рекомендуемая схема именования: privatelink.postgres.database.azure.com На недавно подготовленных серверах общедоступного доступа (не вводимых виртуальных сетей) изменится макет DNS. Полное доменное имя сервера теперь становится записью CName в форме servername.postgres.database.azure.com , которая будет указывать на запись A в одном из следующих форматов:

  1. Если у сервера есть частная конечная точка с связанной частной зоной DNS по умолчанию, запись A будет иметь следующий формат: server_name.privatelink.postgres.database.azure.com
  2. Если на сервере нет частных конечных точек, запись A будет находиться в этом формате server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.

Гибридные DNS для Azure и локальных ресурсов

DNS является критически важным разделом проектирования в общей архитектуре целевой зоны. Некоторым организациям может потребоваться использовать существующие инвестиции в DNS. Другие пользователи могут использовать собственные возможности Azure для всех своих потребностей DNS.

Вы можете использовать частный сопоставитель Azure DNS вместе с зонами Частная зона DNS Azure для разрешения имен между локальными клиентами. Частный сопоставитель DNS может пересылать DNS-запрос на другой DNS-сервер, а также предоставляет IP-адрес, который может использоваться внешним DNS-сервером для пересылки запросов. Таким образом, внешние локальные DNS-серверы могут разрешать имена, расположенные в зоне Частная зона DNS.

Дополнительные сведения об использовании частного сопоставителя DNS с локальным сервером пересылки DNS для пересылки трафика DNS в Azure DNS см. в следующей статье:

Описанные решения расширяют локальную сеть, которая уже имеет решение DNS для разрешения ресурсов в Azure.Microsoft архитектуре.

Частная зона DNS зоны обычно размещаются централизованно в той же подписке Azure, где развертывается виртуальная сеть концентратора. Эта центральная практика размещения обусловлена разрешением dns-имен между локальными средами и другими потребностями в централизованном разрешении DNS, таких как Microsoft Entra. В большинстве случаев только администраторы сетей и удостоверений имеют разрешения на управление записями DNS в зонах.

В такой архитектуре настроены следующие компоненты:

  • Локальные DNS-серверы имеют условные серверы пересылки, настроенные для каждой общедоступной зоны DNS частной конечной точки, указывая на Частная зона DNS Сопоставитель, размещенный в центральной виртуальной сети.
  • Средство разрешения Частная зона DNS, размещенное в виртуальной сети концентратора, использует dns, предоставленный Azure (168.63.129.16) в качестве сервера пересылки.
  • Виртуальная сеть концентратора должна быть связана с именами зон Частная зона DNS для служб Azure (напримерprivatelink.postgres.database.azure.com, для База данных Azure для PostgreSQL — гибкий сервер).
  • Все виртуальные сети Azure используют Частная зона DNS Сопоставитель, размещенный в центральной виртуальной сети.
  • Решение Частная зона DNS не является доверенным для корпоративных доменов клиента, так как это просто сервер пересылки (например, доменные имена Microsoft Entra), он должен иметь исходящие серверы пересылки конечных точек в корпоративные домены клиента, указывая на локальные DNS-серверы или DNS-серверы, развернутые в Azure, которые являются доверенными для таких зон.

По умолчанию политики сети отключены для подсети в виртуальной сети. Чтобы использовать политики сети, такие как UDR и группы безопасности сети, необходимо включить поддержку политики сети для подсети. Этот параметр применим только к частным конечным точкам в подсети. Этот параметр влияет на все частные конечные точки в подсети. Для других ресурсов в подсети доступ контролируется на основе правил безопасности в NSG.

Политики сети можно включить только для групп безопасности сети, только для определяемых пользователем пользователей или для обоих. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".

Ограничения групп безопасности сети и частных конечных точек перечислены в разделе "Что такое частная конечная точка?".

Внимание

Защита от утечки данных: частная конечная точка сопоставляется с экземпляром ресурса PaaS вместо всей службы. Объекты-получатели могут подключаться только к определенному ресурсу. Доступ к любому другому ресурсу в службе блокируется. Этот механизм обеспечивает базовую защиту от рисков утечки данных.

При использовании Приватного канала совместно с правилами брандмауэра возможны следующие ситуации и результаты.

  • Если правила брандмауэра не настроены, по умолчанию трафик не может получить доступ к гибкому серверу База данных Azure для PostgreSQL.

  • Если вы настраиваете общедоступный трафик или конечную точку службы и создаете частные конечные точки, различные типы входящего трафика авторизованы соответствующим типом правила брандмауэра.

  • Если вы не настраиваете общедоступный трафик или конечную точку службы и создаете частные конечные точки, гибкий сервер База данных Azure для PostgreSQL доступен только через частные конечные точки. Если вы не настраиваете общедоступный трафик или конечную точку службы, после того как все утвержденные частные конечные точки отклоняются или удаляются, трафик не может получить доступ к гибкому серверу База данных Azure для PostgreSQL.

Устранение неполадок с подключением к сети на основе частной конечной точки

Если при использовании сети на основе частной конечной точки возникают проблемы с подключением, проверьте следующие области:

  • Проверьте назначения IP-адресов. Убедитесь, что частная конечная точка имеет правильный IP-адрес и что нет конфликтов с другими ресурсами. Дополнительные сведения о частных конечных точках и IP-адресах см. в статье "Управление частными конечными точками Azure".
  • Проверьте группы безопасности сети. Просмотрите правила NSG для подсети частной конечной точки, чтобы убедиться, что необходимый трафик разрешен и не имеет конфликтующих правил. Дополнительные сведения о группах безопасности сети см. в разделе "Группы безопасности сети".
  • Проверка конфигурации таблицы маршрутов. Убедитесь, что таблицы маршрутов, связанные с подсетью частной конечной точки, и подключенные ресурсы правильно настроены с соответствующими маршрутами.
  • Используйте мониторинг сети и диагностика. Используйте Azure Наблюдатель за сетями для мониторинга и диагностики сетевого трафика с помощью таких средств, как Монитор подключений или запись пакетов. Дополнительные сведения о диагностика сети см. в статье "Что такое Azure Наблюдатель за сетями?".

Дополнительные сведения об устранении неполадок с частными конечными точками также доступны в разделе "Устранение неполадок с подключением к частной конечной точке Azure".

Устранение неполадок с разрешением DNS с помощью сети на основе частной конечной точки

Если при использовании сети на основе частных конечных точек возникают проблемы с разрешением DNS, проверьте следующие области:

  • Проверка разрешения DNS. Проверьте, работает ли DNS-сервер или служба, используемая частной конечной точкой, и подключенные ресурсы работают правильно. Убедитесь, что параметры DNS частной конечной точки точны. Дополнительные сведения о частных конечных точках и параметрах зоны DNS см. в разделе "Частная конечная точка Azure" Частная зона DNS значения зоны.
  • Очистка кэша DNS. Очистка кэша DNS на частной конечной точке или клиентском компьютере, чтобы убедиться, что последние сведения DNS извлекаются, и чтобы избежать несогласованных ошибок.
  • Анализ журналов DNS: просмотрите журналы DNS для сообщений об ошибках или необычных шаблонах, таких как сбои запросов DNS, ошибки сервера или время ожидания. Дополнительные сведения о метриках DNS см. в разделе "Метрики и оповещения Azure DNS".

Узнайте, как создать гибкий сервер База данных Azure для PostgreSQL с помощью параметра "Приватный доступ" (интеграция с виртуальной сетью) в портал Azure или Azure CLI.