Přidání připojení privátního koncového bodu

Flexibilní server Azure Database for PostgreSQL je služba Azure Private Link. To znamená, že můžete vytvářet privátní koncové body, aby se klientské aplikace mohly soukromě a bezpečně připojit k flexibilnímu serveru Azure Database for PostgreSQL.

Privátní koncový bod pro flexibilní server Azure Database for PostgreSQL je síťové rozhraní, které můžete vložit do podsítě virtuální sítě Azure. Každý hostitel nebo služba, který může směrovat síťový provoz do této podsítě, dokáže komunikovat s flexibilním serverem, aby síťový provoz nemusel procházet internetem. Veškerý provoz se odesílá soukromě pomocí páteřní sítě Microsoftu.

Další informace o službě Azure Private Link a privátním koncovém bodu Azure najdete v nejčastějších dotazech k Azure Private Linku.

Azure Portal

Pomocí webu Azure Portal:

1. Vyberte flexibilní server Azure Database for PostgreSQL.

2. V nabídce prostředků vyberte Přehled.

   

3. Stav serveru musí být k dispozici, aby byla povolena možnost Nabídky Sítě .

   

4. Pokud stav serveru není dostupný, možnost Sítě je zakázaná.

   

Poznámka:

Jakýkoli pokus o konfiguraci nastavení sítě serveru, jehož stav je jiný než dostupný, by selhal s chybou.

5. V nabídce prostředků vyberte Sítě.

   

6. Pokud máte požadovaná oprávnění k nasazení privátního koncového bodu, můžete ho vytvořit výběrem možnosti Přidat privátní koncový bod.

   

Poznámka:

Informace o potřebných oprávněních k nasazení privátního koncového bodu najdete v tématu Oprávnění Azure RBAC pro Azure Private Link.

7. Na stránce Základy vyplňte všechny požadované podrobnosti. Pak vyberte Další: Prostředek.

   

8. Následující tabulka vám umožní pochopit význam různých polí dostupných na stránce Základy a jako doprovodné materiály k vyplnění stránky:

   Nastavení	Navrhovaná hodnota	Popis
   Předplatné	Vyberte název předplatného, ve kterém chcete prostředek vytvořit. Automaticky vybere předplatné, ve kterém je váš server nasazený.	Předplatné je smlouva s Microsoftem o používání jedné nebo více cloudových platforem nebo služeb Microsoftu, za které se účtují poplatky na základě licenčního poplatku za uživatele nebo využívání cloudových prostředků. Pokud máte více předplatných, zvolte předplatné, ve kterém chcete prostředek fakturovat.
   Skupina prostředků	Skupina prostředků ve vybraném předplatném, ve které chcete vytvořit privátní koncový bod. Může se jednat o existující skupinu prostředků nebo můžete vybrat Možnost Vytvořit nový a zadat název v daném předplatném, který je jedinečný mezi existujícími názvy skupin prostředků. Automaticky vybere skupinu prostředků, ve které je váš server nasazený.	Skupina prostředků je kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků může zahrnovat všechny prostředky pro řešení nebo pouze ty prostředky, které chcete spravovat jako skupinu. Na základě toho, co je pro vaši organizaci nejvhodnější, rozhodnete, jakým způsobem se mají prostředky přidělovat do skupin prostředků. Obecně platí, že přidejte prostředky, které sdílejí stejný životní cyklus do stejné skupiny prostředků, abyste je mohli snadno nasadit, aktualizovat a odstranit jako skupinu.
   Název	Název, který chcete přiřadit privátnímu koncovému bodu.	Jedinečný název, který identifikuje privátní koncový bod, pomocí kterého se můžete připojit k flexibilnímu serveru Azure Database for PostgreSQL.
   Název síťového rozhraní	Název, který chcete přiřadit k síťovému rozhraní přidruženému k privátnímu koncovému bodu.	Jedinečný název, který identifikuje síťové rozhraní přidružené k privátnímu koncovému bodu.
   Oblast	Název jedné z oblastí, ve kterých můžete vytvořit privátní koncové body pro flexibilní server Azure Database for PostgreSQL.	Oblast, kterou vyberete, se musí shodovat s oblastí virtuální sítě, ve které plánujete nasadit privátní koncový bod.

9. Na stránce Zdroj vyplňte všechny požadované podrobnosti. Pak vyberte Další: Virtuální síť.

   

10. Následující tabulka vám umožní porozumět významu různých polí dostupných na stránce Zdroj a jako doprovodné materiály k vyplnění stránky:

    Nastavení	Navrhovaná hodnota	Popis
    Typ prostředku	Automaticky nastaveno na Microsoft.DBforPostgreSQL/flexibleServers	Tato hodnota se automaticky vybere za vás a odpovídá typu prostředku, který flexibilní server Azure Database for PostgreSQL představuje pro oči služby Azure Private Link.
    Prostředek	Automaticky se nastaví na název flexibilního serveru Azure Database for PostgreSQL, pro který vytváříte privátní koncový bod.	Název prostředku, ke kterému se privátní koncový bod připojuje.
    Cílový dílčí prostředek	Automaticky nastaveno na postgresqlServerhodnotu .	Typ podsourcu pro vybraný prostředek, ke kterému má váš privátní koncový bod přístup.

11. Na stránce Virtuální síť vyplňte všechny požadované podrobnosti. Pak vyberte Další: DNS.

    

12. Následující tabulka vám umožní pochopit význam různých polí dostupných na stránce Virtuální síť a jako doprovodné materiály k vyplnění stránky:

    Nastavení	Navrhovaná hodnota	Popis
    Virtuální síť	Automaticky se nastaví na první virtuální síť (seřazenou v abecedním pořadí), která je dostupná ve vybraném předplatném a oblasti.	Zobrazí se jenom virtuální sítě, na kterých máte oprávnění, v aktuálně vybraném předplatném a oblasti.
    Podsíť	Automaticky se nastaví na název flexibilního serveru Azure Database for PostgreSQL, pro který vytváříte privátní koncový bod.	Zobrazí se jenom podsítě v aktuálně vybrané virtuální síti.
    Zásady sítě pro privátní koncové body	Ve výchozím nastavení jsou zásady sítě pro podsíť ve virtuální síti zakázané. Zásady sítě můžete povolit pouze pro skupiny zabezpečení sítě, pouze pro trasy definované uživatelem nebo pro obojí.	Pokud chcete používat zásady sítě, jako jsou trasy definované uživatelem a podpora skupin zabezpečení sítě, musí být pro podsíť povolená podpora zásad sítě. Toto nastavení platí jenom pro privátní koncové body v podsíti a ovlivňuje všechny privátní koncové body v podsíti. U jiných prostředků v podsíti se přístup řídí na základě pravidel zabezpečení ve skupině zabezpečení sítě. Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.
    Konfigurace privátní IP adresy	Automaticky se nastaví tak, aby dynamicky přidělila jednu z dostupných IP adres v rozsahu přiřazeného vybrané podsíti.	Tato IP adresa je ta, která je přiřazená síťovému rozhraní přidruženému k privátnímu koncovému bodu. Dá se dynamicky přidělovat z rozsahu přiřazeného k vybrané podsíti nebo můžete rozhodnout, kterou konkrétní adresu chcete přiřadit. Po vytvoření privátního koncového bodu nemůžete změnit jeho IP adresu bez ohledu na to, které dva režimy přidělování vyberete během vytváření.
    Skupina zabezpečení aplikace	Ve výchozím nastavení není přiřazena žádná skupina zabezpečení aplikace. Můžete zvolit existující nebo můžete vytvořit a přiřadit ho.	Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě. Zásady zabezpečení můžete opakovaně používat ve velkém měřítku bez potřeby ruční údržby explicitních IP adres. O složitost explicitních IP adres a několika skupin pravidel se stará platforma a vy se tak můžete zaměřit na obchodní logiku. Další informace naleznete v tématu Skupiny zabezpečení aplikace.

13. Na stránce DNS vyplňte všechny požadované podrobnosti. Pak vyberte Další: Značky.

    

14. Následující tabulka vám umožní pochopit význam různých polí dostupných na stránce DNS a jako doprovodné materiály k vyplnění stránky:

    Nastavení	Navrhovaná hodnota	Popis
    Integrace s privátní zónou DNS	Ve výchozím nastavení povolena.	Pokud chcete, aby byl privátní koncový bod integrovaný s privátní zónou DNS Azure, nebo ne, pokud chcete použít vlastní servery DNS, nebo pokud chcete přeložit název koncového bodu pomocí souborů hostitelů na počítačích, ze kterých se chcete připojit přes privátní koncový bod, vyberte ano. Další informace najdete v tématu Konfigurace DNS privátního koncového bodu. Pokud nakonfigurujete integraci privátní zóny DNS, privátní zóna DNS se automaticky propojí s virtuální sítí, ve které vytvoříte privátní koncový bod.
    Název konfigurace	Automaticky nastaveno na privatelink-postgres-database-azure-comhodnotu .	Název přiřazený ke konfiguraci DNS, která je přidružená k privátní zóně DNS.
    Předplatné	Vyberte název předplatného, ve kterém chcete vytvořit privátní zónu DNS. Automaticky vybere předplatné, ve kterém je váš server nasazený.	Předplatné je smlouva s Microsoftem o používání jedné nebo více cloudových platforem nebo služeb Microsoftu, za které se účtují poplatky na základě licenčního poplatku za uživatele nebo využívání cloudových prostředků. Pokud máte více předplatných, zvolte předplatné, ve kterém chcete prostředek fakturovat.
    Skupina prostředků	Skupina prostředků ve vybraném předplatném, ve které chcete vytvořit privátní zónu DNS. Musí se jednat o existující skupinu prostředků. Automaticky vybere skupinu prostředků, ve které je váš server nasazený.	Skupina prostředků je kontejner, který obsahuje související prostředky pro řešení Azure. Skupina prostředků může zahrnovat všechny prostředky pro řešení nebo pouze ty prostředky, které chcete spravovat jako skupinu. Na základě toho, co je pro vaši organizaci nejvhodnější, rozhodnete, jakým způsobem se mají prostředky přidělovat do skupin prostředků. Obecně platí, že přidejte prostředky, které sdílejí stejný životní cyklus do stejné skupiny prostředků, abyste je mohli snadno nasadit, aktualizovat a odstranit jako skupinu.
    zóna Privátní DNS	Automaticky nastaveno na privatelink.postgres.database.azure.comhodnotu .	Tento název je ten, který je přiřazený k prostředku privátní zóny DNS.

15. Na stránce Značky vyplňte všechny požadované podrobnosti. Pak vyberte Další: Zkontrolovat a vytvořit.

    

16. Následující tabulka vám umožní pochopit význam různých polí dostupných na stránce Značky a jako doprovodné materiály k vyplnění stránky:

    Nastavení	Navrhovaná hodnota	Description
    Jméno	Nechte prázdné.	Název značky, kterou chcete přiřadit k privátnímu koncovému bodu a privátní zóně DNS (pokud jste na stránce DNS vybrali integraci privátní zóny DNS ).
    Hodnota	Nechte prázdné.	Hodnota, kterou chcete přiřadit ke značce s daným názvem a kterou chcete přiřadit k privátnímu koncovému bodu a privátní zóně DNS (pokud jste na stránce DNS vybrali integraci privátní zóny DNS ).
    Prostředek	Ponechte výchozí nastavení.	Můžete vybrat, ke kterým prostředkům chcete přiřadit danou značku. Může to být privátní koncový bod, privátní zóna DNS (pokud jste na stránce DNS vybrali integraci privátní zóny DNS ) nebo obojí.

17. Na stránce Zkontrolovat a vytvořit se ujistěte, že je vše nakonfigurované podle potřeby. Potom vyberte Vytvořit.

    

18. Spustí se nasazení a po dokončení nasazení se zobrazí oznámení.

    

Rozhraní příkazového řádku

Pokud máte požadovaná oprávnění k nasazení privátního koncového bodu a ke schválení připojení privátního koncového bodu k vašemu serveru, můžete připojení privátního koncového bodu vytvořit pomocí příkazu az network private-endpoint create .

Pokud chcete vytvořit privátní koncový bod a přiřadit k jeho síťovému rozhraní IP adresu dynamicky přidělenou z rozsahu přiřazeného vybrané podsíti:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Pokud chcete vytvořit privátní koncový bod a přiřadit k jeho síťovému rozhraní IP adresu staticky přidělenou z rozsahu přiřazeného vybrané podsíti:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Pokud jste měli požadovaná oprávnění, mělo by se připojení privátního koncového bodu automaticky schválit. Pokud se jedná o tento případ, výstup následujícího příkazu by se zobrazil status jako Approveda description jako Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Pokud az network private-endpoint create neexistuje, vytvoří se privatelink.postgres.database.azure.com privátní zóna DNS. A propojuje privátní zónu DNS s virtuální sítí, ve které se privátní koncový bod vytvoří. Pokud ale chcete, nevytvoří skupinu zón DNS v privátním koncovém bodu, můžete privátní koncový bod integrovat s privátní zónou DNS. Postupujte takto:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Pokud se pokusíte vytvořit privátní koncový bod se staticky přidělenou privátní IP adresou a zadaná adresa je již používána jiným síťovým rozhraním, zobrazí se následující chyba:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Pokud se pokusíte vytvořit privátní koncový bod a virtuální síť odkazovaná prostřednictvím parametru --subscriptiona --resource-group--vnet-name parametry neexistují. Nebo pokud virtuální síť existuje, ale oblast, ve které je nasazená, neodpovídá oblasti, ve které se pokoušíte nasadit privátní koncový bod, zobrazí se následující chyba:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Pokud se pokusíte vytvořit privátní koncový bod a jeden již existuje se stejným názvem, ale zadáte jinou hodnotu pro --connection-name nebo pro --vnet-name, zobrazí se následující chyba:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Pokud se pokusíte vytvořit privátní koncový bod a jeden už existuje se stejným názvem, ale zadáte jinou hodnotu --subnet, zobrazí se následující chyba:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Pokud se pokusíte vytvořit privátní koncový bod a jeden už existuje se stejným názvem, ale zadáte jinou hodnotu --location, zobrazí se následující chyba:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Související obsah

• Sítě.
• Povolte veřejný přístup.
• Zakažte veřejný přístup.
• Přidejte pravidla brány firewall.
• Odstraňte pravidla brány firewall.
• Odstraňte připojení privátního koncového bodu.
• Schvalte připojení privátních koncových bodů.
• Zamítnout připojení privátního koncového bodu.