Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Приватный канал Azure позволяет создавать частные конечные точки для гибкого сервера Базы данных Azure для PostgreSQL, чтобы перенести его в виртуальную сеть. Эта функция является рекомендуемой альтернативой сетевым возможностям, предоставляемым интеграцией виртуальной сети.
С помощью приватного канала трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Предоставление доступа к службе через общедоступный Интернет больше не требуется. Вы можете создать собственную службу приватного канала в виртуальной сети и предоставлять ее клиентам. Настройка и использование с помощью Private Link согласованы в Azure PaaS, принадлежащих клиентам и общих службах партнёров.
Приватный канал предоставляется пользователям через два типа ресурсов Azure:
- Частные конечные точки (Microsoft.Network/PrivateEndpoints)
- Службы Private Link (Microsoft.Network/PrivateLinkServices)
Частные конечные точки
Частная конечная точка добавляет сетевой интерфейс к ресурсу, предоставляя ему частный IP-адрес, назначенный из виртуальной сети. После применения вы можете взаимодействовать с этим ресурсом исключительно через виртуальную сеть. Список служб PaaS, поддерживающих функциональность Private Link, ознакомьтесь с документацией по Private Link. Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети.
Несколько частных конечных точек в разных виртуальных сетях или подсетях, даже если они обладают перекрывающимися адресными пространствами, могут ссылаться на один и тот же экземпляр общедоступного сервиса.
Основные преимущества Приватного канала
Приватный канал предоставляет следующие преимущества:
- Частный доступ к службам на платформе Azure. Подключение виртуальной сети с помощью частных конечных точек ко всем службам, которые можно использовать в качестве компонентов приложения в Azure. Поставщики услуг могут отображать свои службы в собственной виртуальной сети. Потребители могут получить доступ к этим службам в локальной виртуальной сети. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure.
- Локальные и пиринговые сети: доступ к службам, работающим в Azure, из локальной среды через частный пиринг Azure ExpressRoute, туннели виртуальной частной сети (VPN) и пиринговые виртуальные сети с помощью частных конечных точек. Нет необходимости настраивать пиринг Microsoft для ExpressRoute или прокладывать канал через Интернет, чтобы получить доступ к службе. Приватный канал обеспечивает безопасный способ переносить рабочие нагрузки в Azure.
- Защита от утечки данных: частная конечная точка сопоставляется с экземпляром ресурса PaaS вместо всей службы. Потребители могут подключаться только к определенному ресурсу. Доступ к любому другому ресурсу в службе блокируется. Этот механизм обеспечивает защиту от рисков утечки данных.
- Глобальный охват: частное подключение к службам, работающим в других регионах: виртуальная сеть потребителя может находиться в регионе A. Он может подключаться к службам за Приватный канал в регионе B.
Варианты использования Private Link с гибким сервером Azure Database для PostgreSQL
Клиенты могут подключаться к частной конечной точке:
- та же виртуальная сеть.
- Одноранговая виртуальная сеть в одном регионе или между регионами.
- Сетевое подключение между регионами.
Клиенты также могут подключаться из локальной среды с помощью ExpressRoute, частного пиринга или туннелирования VPN. На следующей упрощенной схеме показаны распространенные варианты использования.
Поддерживаемые функции для приватной ссылки
Ниже приведена межфункциональная матрица доступности для частных конечных точек в базе данных Azure для PostgreSQL на гибком сервере.
| Функция | Доступность | Примечания. |
|---|---|---|
| Высокая доступность | Да | Работает как задумано. |
| Реплика для чтения | Да | Работает согласно задумке |
| Реплика для чтения с виртуальными конечными точками | Да | Работает в соответствии с дизайном. |
| Восстановление на определенный момент времени | Да | Работает как задумано. |
| Разрешение также общедоступного или интернет-доступа с помощью правил брандмауэра | Да | Работает как разработанный. |
| Крупное обновление версии | Да | Работает как разработанный. |
| Проверка подлинности Microsoft Entra | Да | Работает как разработанный. |
| Управление пулом соединений с помощью PGBouncer | Да | Работает как разработанный. |
| DNS частной конечной точки | Да | Работает в соответствии с проектом и документацией. |
| Шифрование с использованием управляемых клиентом ключей | Да | Работает как разработанный. |
Частные конечные точки можно настраивать только для серверов, которые были созданы после введения поддержки Private Link в гибком сервере базы данных Azure для PostgreSQL, и сетевой режим которых настроен на общедоступный доступ без интеграции с виртуальной сетью.
Серверы, созданные до этой даты, и сетевой режим которых был настроен на общедоступный доступ без интеграции виртуальной сети, пока не поддерживают создание частных конечных точек. Использование частных конечных точек в настоящее время не поддерживается на серверах, созданных с интеграцией виртуальной сети.
Подключение из виртуальной машины Azure в одноранговой виртуальной сети
Настройте пиринг виртуальной сети, чтобы установить подключение к гибкому серверу базы данных Azure для PostgreSQL из виртуальной машины Azure, находящейся в пиринговой виртуальной сети.
Подключение с виртуальной машины Azure в сетевой среде
Настройте подключение VPN-шлюза от сети к сети для установления соединения с базой данных Azure для гибкого сервера PostgreSQL из виртуальной машины Azure в другом регионе или подписке.
Подключение из локальной среды через VPN
Чтобы установить подключение из локальной среды к гибкому серверу База данных Azure для PostgreSQL, выберите один из вариантов:
Безопасность сети и Приватный канал
При использовании частных конечных точек трафик защищен ресурсом приватного канала. Платформа проверяет сетевые подключения, разрешая только те подключения, которые достигают указанного ресурса приватного канала. Для доступа к дополнительным подресурсам в одной службе Azure требуются дополнительные частные конечные точки с соответствующими целевыми объектами. Например, для Azure Хранилища нужно будет установить отдельные частные конечные точки для доступа к файловым подресурсам и BLOB-объектам.
Частные конечные точки предоставляют частный IP-адрес для службы Azure, но не обязательно ограничивают доступ к общедоступной сети. Однако для всех других служб Azure требуется другой контроль доступа. Эти элементы управления гарантируют дополнительный уровень безопасности сети для ресурсов, обеспечивая защиту, которая помогает предотвратить доступ к службе Azure, связанной с ресурсом приватного канала.
Частные конечные точки поддерживают сетевые политики. Политики сети позволяют поддерживать группы безопасности сети (NSG), определяемые пользователем маршруты (UDR) и группы безопасности приложений (ASG). Дополнительные сведения о включении политик сети для частной конечной точки см. в статье Управление политиками сети для частных конечных точек. Сведения об использовании ASG с частной конечной точкой см. в статье "Настройка группы безопасности приложений с частной конечной точкой".
Приватный канал и DNS
При использовании частной конечной точки необходимо подключиться к той же службе Azure, но использовать IP-адрес частной конечной точки. Подключение к закрытой конечной точке требует отдельных настроек системы доменных имен (DNS), чтобы сопоставить частный IP-адрес с именем ресурса.
Частные зоны DNS предоставляют разрешение доменных имен в виртуальной сети без пользовательского решения DNS. Вы связываете частные зоны DNS с каждой виртуальной сетью для предоставления служб DNS этой сети.
Частные зоны DNS предоставляют отдельные имена зон DNS для каждой службы Azure. Например, если вы настроили частную зону DNS для службы BLOB-объектов учетной записи хранения на предыдущем изображении, то имя зоны DNS — privatelink.blob.core.windows.net. Ознакомьтесь с документацией Майкрософт, чтобы просмотреть больше имен частных зон DNS для всех служб Azure.
Примечание.
Конфигурации частной конечной точки и зоны приватной DNS генерируются автоматически только в случае использования рекомендуемой схемы именования: privatelink.postgres.database.azure.com.
На недавно подготовленных общедоступных серверах (не интегрированных с виртуальной сетью) произошли изменения в конфигурации DNS. Полное доменное имя сервера теперь становится записью CNAME в форме servername.postgres.database.azure.com , которая указывает на запись A в одном из следующих форматов:
- Если у сервера есть частная конечная точка с связанной частной зоной DNS по умолчанию, запись A использует следующий формат:
server_name.privatelink.postgres.database.azure.com - Если у сервера нет частных конечных точек, запись A использует этот формат
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
Гибридные DNS для Azure и локальных ресурсов
DNS является важным элементом в общей архитектуре целевой зоны. Некоторым организациям может потребоваться использовать существующие инвестиции в DNS. Другие пользователи могут использовать собственные возможности Azure для всех своих потребностей DNS.
Вы можете использовать Azure DNS Private Resolver вместе с зонами частного DNS Azure для разрешения имен между различными площадками. Частный сопоставитель DNS может пересылать DNS-запрос на другой DNS-сервер, а также предоставляет IP-адрес, который может использоваться внешним DNS-сервером для пересылки запросов. Таким образом, внешние локальные DNS-серверы могут разрешать имена, расположенные в зоне Частная зона DNS.
Дополнительные сведения о том, как использовать DNS Private Resolver с локальным сервером пересылки DNS для передачи трафика в Azure DNS, см. в следующей статье:
- Интеграция DNS частной конечной точки Azure
- Создание инфраструктуры DNS приватной конечной точки с помощью Azure Private Resolver для локальных рабочих нагрузок
Описанные решения расширяют локальную сеть, которая уже имеет решение DNS для разрешения ресурсов в Azure.Microsoft архитектуре.
Приватный канал и интеграция DNS в сетевых архитектурах концентратора и периферийной сети
Частные зоны DNS обычно размещаются центрально в той же подписке Azure, где развертывается виртуальная сеть концентратора. Эта центральная практика размещения обусловлена разрешением dns-имен между локальными средами и другими потребностями в централизованном разрешении DNS, таких как Microsoft Entra. В большинстве случаев только администраторы сетей и удостоверений имеют разрешения на управление записями DNS в зонах.
В такой архитектуре настроены следующие компоненты:
- Локальные DNS-серверы имеют условные серверы пересылки, настроенные для каждой общедоступной зоны DNS частной конечной точки, указывая на Частная зона DNS Сопоставитель, размещенный в центральной виртуальной сети.
- Средство разрешения частных DNS, размещенное в виртуальной сети концентратора, использует DNS, предоставленный Azure (168.63.129.16), в качестве сервером пересылки.
- Виртуальная сеть концентратора должна быть связана с именами частных зон DNS для служб Azure (например
privatelink.postgres.database.azure.com, для гибкого сервера Базы данных Azure для PostgreSQL). - Все виртуальные сети Azure используют резольвер DNS, размещенный в центральной виртуальной сети.
- Частный сопоставитель DNS не является авторитетным для корпоративных доменов клиента, так как это просто переадресатор (например, для доменных имен Microsoft Entra). Он должен иметь исходящие переадресаторы на корпоративные домены клиента, указывающие на локальные DNS-серверы или на DNS-серверы, развернутые в Azure и авторитетные для таких зон.
Приватный канал и группы безопасности сети
По умолчанию политики сети отключены для подсети в виртуальной сети. Чтобы использовать сетевые политики, такие как UDR и NSG (группы безопасности сети), необходимо включить поддержку сетевой политики для подсети. Этот параметр применим только к частным конечным точкам в подсети. Этот параметр влияет на все частные конечные точки в подсети. Для других ресурсов в подсети доступ контролируется на основе правил безопасности в NSG.
Сетевые политики можно включить только для NSG, только для UDR, или для обоих. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".
Ограничения NSG и частных конечных точек перечислены в разделе "Что такое частная конечная точка?".
Внимание
Защита от утечки данных: частная конечная точка сопоставляется с экземпляром ресурса PaaS вместо всей службы. Потребители могут подключаться только к определенному ресурсу. Доступ к любому другому ресурсу в службе блокируется. Этот механизм обеспечивает базовую защиту от рисков утечки данных.
Использование Приватного канала совместно с правилами брандмауэра
При использовании Приватного канала совместно с правилами брандмауэра возможны следующие ситуации и результаты.
Если правила брандмауэра не настроены, по умолчанию трафик не может получить доступ к гибкому серверу База данных Azure для PostgreSQL.
Если вы настраиваете общедоступный трафик или конечную точку службы и создаете частные конечные точки, различные типы входящего трафика авторизованы соответствующим типом правила брандмауэра.
Если вы не настраиваете общедоступный трафик или конечную точку службы и создаете частные конечные точки, гибкий сервер База данных Azure для PostgreSQL доступен только через частные конечные точки. Если вы не настраиваете общедоступный трафик или конечную точку службы, после того как все утвержденные частные конечные точки отклоняются или удаляются, трафик не может получить доступ к гибкому серверу База данных Azure для PostgreSQL.
Устранение неполадок
При использовании конечных точек приватного канала с гибким сервером Базы данных Azure для PostgreSQL проблемы с подключением могут возникнуть из-за неправильной настройки или ограничений сети. Чтобы устранить эти проблемы, проверьте настройку частных конечных точек, конфигурации DNS, группы безопасности сети (NSG) и таблицы маршрутов. Систематические решения этих областей помогают выявлять и устранять распространенные проблемы, обеспечивая простое подключение и безопасный доступ к базе данных.
Проблемы с подключением к сети с частной конечной точкой
Если при использовании сети на основе частной конечной точки возникают проблемы с подключением, проверьте следующие области:
- Проверьте назначения IP-адресов. Убедитесь, что частная конечная точка имеет правильный IP-адрес и что нет конфликтов с другими ресурсами. Дополнительные сведения о частных конечных точках и IP-адресах см. в статье "Управление частными конечными точками Azure".
- Проверьте NSG: Проверьте правила NSG для подсети частной конечной точки, чтобы убедиться, что необходимый трафик разрешен и не имеет конфликтующих правил. Дополнительные сведения о группах безопасности сети см. в разделе "Группы безопасности сети".
- Проверка конфигурации таблицы маршрутов. Убедитесь, что таблицы маршрутов, связанные с подсетью частной конечной точки, и подключенные ресурсы правильно настроены с соответствующими маршрутами.
- Используйте мониторинг сети и диагностику сети. Используйте Azure Network Watcher для мониторинга и диагностики сетевого трафика с помощью таких средств, как Connection Monitor или Запись пакетов. Дополнительные сведения о диагностике сети см. в статье "Что такое Azure Network Watcher?".
Дополнительные сведения об устранении неполадок с частными конечными точками также доступны в разделе "Устранение неполадок с подключением к частной конечной точке Azure".
Разрешение DNS для сети с использованием частных конечных точек
Если при использовании сети на основе частных конечных точек возникают проблемы с разрешением DNS, проверьте следующие области:
- Проверка разрешения DNS. Проверьте, работает ли DNS-сервер или служба, используемая частной конечной точкой, и подключенные ресурсы работают правильно. Убедитесь, что параметры DNS частной конечной точки точны. Дополнительные сведения о частных конечных точках и параметрах зоны DNS см. в разделе значения зоны частного DNS для частной конечной точки Azure.
- Очистка кэша DNS. Очистка кэша DNS на частной конечной точке или клиентском компьютере, чтобы убедиться, что последние сведения DNS извлекаются, и чтобы избежать несогласованных ошибок.
- Анализ журналов DNS: просмотрите журналы DNS для сообщений об ошибках или необычных шаблонах, таких как сбои запросов DNS, ошибки сервера или время ожидания. Дополнительные сведения о метриках DNS см. в разделе "Метрики и оповещения Azure DNS".
Масштабирование
Вы можете столкнуться с потерей подключения через частную конечную точку после масштабирования вычислений или хранилища гибкого сервера Базы данных Azure для PostgreSQL. Если это происходит, остановите и запустите сервер вместо перезапуска, так как перезапуск не имеет того же эффекта. Затем повторно создайте частную конечную точку для восстановления подключения к базе данных.