Sdílet prostřednictvím

Přehled sítí pro flexibilní server Azure Database for PostgreSQL s veřejným přístupem (povolené IP adresy)

  • Článek

PLATÍ PRO: Flexibilní server Azure Database for PostgreSQL

Tento článek popisuje koncepty připojení a sítí pro flexibilní server Azure Database for PostgreSQL.

Při vytváření flexibilního serveru Azure Database for PostgreSQL musíte zvolit jednu z následujících možností sítě:

  • Privátní přístup (integrace virtuální sítě)
  • Veřejný přístup (povolené IP adresy) a privátní koncový bod

Následující vlastnosti platí bez ohledu na to, jestli se rozhodnete použít privátní přístup nebo možnost veřejného přístupu:

  • Připojení z povolených IP adres se musí ověřit na flexibilním serveru Azure Database for PostgreSQL s platnými přihlašovacími údaji.
  • Šifrování připojení se vynucuje pro síťový provoz.
  • Server má plně kvalifikovaný název domény (FQDN). hostname Pro vlastnost v připojovací řetězec s doporučujeme místo IP adresy použít plně kvalifikovaný název domény.
  • Obě možnosti řídí přístup na úrovni serveru, ne na úrovni databáze nebo tabulky. Vlastnosti role PostgreSQL byste použili k řízení přístupu k databázi, tabulce a dalším objektům.

Poznámka:

Vzhledem k tomu, že flexibilní server Azure Database for PostgreSQL je spravovaná databázová služba, uživatelé nemají přístup hostitele ani operačního systému k zobrazení nebo úpravě konfiguračních souborů, jako pg_hba.confje . Obsah souborů se automaticky aktualizuje na základě nastavení sítě.

Použití sítí veřejného přístupu s flexibilním serverem Azure Database for PostgreSQL

Když zvolíte metodu veřejného přístupu, bude flexibilní server Azure Database for PostgreSQL přístupný přes veřejný koncový bod přes internet. Veřejný koncový bod je veřejně přeložitelná adresa DNS. Fráze povolená IP adresa odkazuje na rozsah IP adres, které se rozhodnete udělit oprávnění pro přístup k vašemu serveru. Tato oprávnění se nazývají pravidla brány firewall.

Tuto možnost sítě zvolte, pokud chcete mít následující možnosti:

  • Připojte se z prostředků Azure, které nepodporují virtuální sítě.
  • Připojte se z prostředků mimo Azure, které nejsou připojené přes VPN nebo Azure ExpressRoute.
  • Ujistěte se, že flexibilní server Azure Database for PostgreSQL má veřejný koncový bod, který je přístupný přes internet.

Mezi charakteristiky metody veřejného přístupu patří:

  • Pouze IP adresy, které povolíte, mají oprávnění pro přístup k flexibilnímu serveru Azure Database for PostgreSQL. Ve výchozím nastavení nejsou povoleny žádné IP adresy. Během vytváření serveru nebo později můžete přidat IP adresy.
  • Flexibilní server Azure Database for PostgreSQL má veřejně přeložitelný název DNS.
  • Flexibilní server Azure Database for PostgreSQL není v jedné z vašich virtuálních sítí Azure.
  • Síťový provoz do a ze serveru nepřechází přes privátní síť. Provoz používá obecné internetové cesty.

Pravidla brány firewall

Pravidla brány firewall na úrovni serveru platí pro všechny databáze na stejném flexibilním serveru Azure Database for PostgreSQL. Pokud je zdrojová IP adresa požadavku v jednom z rozsahů zadaných v pravidlech brány firewall na úrovni serveru, připojení se udělí. Jinak se odmítne. Pokud se například vaše aplikace připojuje k ovladači JDBC pro PostgreSQL, může dojít k této chybě při pokusu o připojení, když brána firewall blokuje připojení.

java.util.concurrent.ExecutionException: java.lang.RuntimeException: org.postgresql.util.PSQLException: FATAL: no pg_hba.conf entry for host "123.45.67.890", user "adminuser", database "postgresql", SSL

Poznámka:

Pokud chcete získat přístup k flexibilnímu serveru Azure Database for PostgreSQL z místního počítače, ujistěte se, že brána firewall ve vaší síti a místním počítači umožňuje odchozí komunikaci na portu TCP 5432.

Pravidla brány firewall spravovaná prostřednictvím kódu programu

Kromě použití na webu Azure Portal můžete pravidla brány firewall spravovat prostřednictvím kódu programu pomocí Azure CLI. Další informace najdete v tématu Vytvoření a správa pravidel brány firewall flexibilního serveru Azure Database for PostgreSQL pomocí Azure CLI.

Povolit všechny IP adresy Azure

Doporučujeme najít odchozí IP adresu jakékoli aplikace nebo služby a explicitně povolit přístup k těmto jednotlivým IP adresám nebo rozsahům. Pokud pro vaši službu Azure není dostupná pevná odchozí IP adresa, můžete zvážit povolení připojení ze všech IP adres pro datacentra Azure.

Pokud chcete toto nastavení povolit na webu Azure Portal, zaškrtněte v podokně Sítě políčko Povolit veřejný přístup z libovolné služby Azure v rámci Azure na tento server a pak vyberte Uložit.

Důležité

Možnost Povolit veřejný přístup ze služeb a prostředků Azure v rámci možnosti Azure nakonfiguruje bránu firewall tak, aby umožňovala všechna připojení z Azure, včetně připojení z předplatných jiných zákazníků. Když vyberete tuto možnost, ujistěte se, že vaše přihlašovací a uživatelská oprávnění omezují přístup jenom na oprávněné uživatele.

Řešení potíží s veřejným přístupem

Při přístupu k flexibilnímu serveru Azure Database for PostgreSQL se nechová podle očekávání následující body:

  • Změny seznamu povolených změn se ještě neprojevily. Může trvat až pět minut, než se změny konfigurace brány firewall flexibilního serveru Azure Database for PostgreSQL projeví.

  • Ověření se nezdařilo. Pokud uživatel nemá oprávnění k flexibilnímu serveru Azure Database for PostgreSQL nebo je nesprávné heslo, připojení k flexibilnímu serveru Azure Database for PostgreSQL se odepře. Vytvoření nastavení brány firewall poskytuje klientům příležitost se pokusit se připojit k serveru. Každý klient musí stále poskytovat nezbytné přihlašovací údaje zabezpečení.

  • Dynamická IP adresa klienta brání přístupu. Pokud máte připojení k internetu s dynamickým přidělováním IP adres a máte potíže dostat se přes bránu firewall, vyzkoušejte jedno z následujících řešení:

    • Požádejte poskytovatele internetových služeb o rozsah IP adres přiřazený klientským počítačům, které přistupuje k flexibilnímu serveru Azure Database for PostgreSQL. Pak přidejte rozsah IP adres jako pravidlo brány firewall.
    • Místo toho získejte statické IP adresy pro klientské počítače. Pak přidejte statickou IP adresu jako pravidlo brány firewall.

  • Pravidlo brány firewall není dostupné pro formát IPv6. Pravidla firewallu musí být ve formátu IPv4. Pokud zadáte pravidla brány firewall ve formátu IPv6, zobrazí se chyba ověření.

Název hostitele

Bez ohledu na zvolenou možnost sítě doporučujeme při připojování k flexibilnímu serveru Azure Database for PostgreSQL vždy používat plně kvalifikovaný název domény jako název hostitele. IP adresa serveru není zaručená, že zůstane statická. Použití plně kvalifikovaného názvu domény vám pomůže vyhnout se změnám připojovací řetězec.

Příkladem, který používá plně kvalifikovaný název domény jako název hostitele, je hostname = servername.postgres.database.azure.com. Pokud je to možné, nepoužívejte hostname = 10.0.0.4 (soukromou adresu) nebo hostname = 40.2.45.67 (veřejnou adresu).

Související obsah

  • Zjistěte, jak vytvořit flexibilní server Azure Database for PostgreSQL pomocí možnosti Veřejný přístup (povolené IP adresy) na webu Azure Portal nebo v Azure CLI.