Hinzufügen von Verbindungen mit privaten Endpunkten

Azure Database for PostgreSQL – Flexibler Server ist ein Azure Private Link-Dienst. Dies bedeutet, dass Sie private Endpunkte erstellen können, damit Ihre Clientanwendungen private und sichere Verbindungen mit Azure Database for PostgreSQL – Flexibler Server herstellen können.

Ein privater Endpunkt für Azure Database for PostgreSQL – Flexibler Server ist eine Netzwerkschnittstelle, die Sie in ein Subnetz eines virtuellen Azure-Netzwerks einfügen können. Jeder Host oder Dienst, der Netzwerkdatenverkehr an dieses Subnetz weiterleiten kann, kann mit Ihrem flexiblen Server kommunizieren, sodass der Netzwerkdatenverkehr nicht über das Internet geleitet werden muss. Der gesamte Datenverkehr wird privat über den Microsoft-Backbone übertragen.

Weitere Informationen zu Azure Private Link und zum privaten Azure-Endpunkt finden Sie in den häufig gestellten Fragen zu Azure Private Link.

Portal

Verwenden des Azure-Portals:

1. Wählen Sie Ihren flexiblen Azure Database for PostgreSQL-Server aus.

2. Wählen Sie im Ressourcenmenü Übersicht aus.

   

3. Der Serverstatus muss Verfügbar lauten, damit die Menüoption Netzwerk aktiviert ist.

   

4. Wenn der Status des Servers nicht Verfügbar lautet, ist die Option Netzwerk deaktiviert.

   

Hinweis

Bei jedem Versuch, die Netzwerkeinstellungen eines Servers zu konfigurieren, dessen Status nicht „Verfügbar“ ist, tritt ein Fehler auf.

5. Wählen Sie im Ressourcenmenü Netzwerk aus.

   

6. Wenn Sie über die erforderlichen Berechtigungen zum Bereitstellen eines privaten Endpunkts verfügen, können Sie ihn erstellen, indem Sie Privaten Endpunkt hinzufügen auswählen.

   

Hinweis

Informationen zu den erforderlichen Berechtigungen zum Bereitstellen eines privaten Endpunkts finden Sie unter Azure RBAC-Berechtigungen für Azure Private Link.

7. Füllen Sie auf der Seite Grundlagen alle erforderlichen Details aus. Wählen Sie dann Weiter: Ressource aus.

   

8. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der Seite Grundeinstellungen verfügbar sind, und als Anleitung zum Ausfüllen der Seite:

   Einstellung	Vorgeschlagener Wert	BESCHREIBUNG
   Abonnement	Wählen Sie den Namen des Abonnements aus, in dem Sie die Ressource erstellen möchten. Es wird automatisch das Abonnement ausgewählt, in dem Ihr Server bereitgestellt wird.	Ein Abonnement ist eine Vereinbarung mit Microsoft über die Nutzung einer oder mehrerer Microsoft Cloud-Plattformen oder -Dienste, für die Gebühren entweder auf der Grundlage einer Lizenzgebühr pro Benutzer oder des cloudbasierten Ressourcenverbrauchs anfallen. Falls Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, über das die Ressource abgerechnet werden soll.
   Ressourcengruppe	Die Ressourcengruppe im ausgewählten Abonnement, in dem Sie den privaten Endpunkt erstellen möchten. Es kann sich um eine vorhandene Ressourcengruppe handeln, oder Sie können Neu erstellen auswählen und einen Namen in diesem Abonnement angeben, der unter den vorhandenen Ressourcengruppennamen eindeutig ist. Es wird automatisch die Ressourcengruppe ausgewählt, in der Ihr Server bereitgestellt wird.	Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten. Sie entscheiden in Abhängigkeit davon, was für Ihre Organisation am sinnvollsten ist, wie Sie die Ressourcen den Ressourcengruppen zuordnen möchten. Im Allgemeinen fügen Sie einer Ressourcengruppe Ressourcen hinzu, die den gleichen Lebenszyklus haben, damit Sie diese einfacher als Gruppe bereitstellen, aktualisieren und löschen können.
   Name	Der Name, den Sie dem privaten Endpunkt zuweisen möchten.	Ein eindeutiger Name, der den privaten Endpunkt identifiziert, über den Sie eine Verbindung mit Azure Database for PostgreSQL – Flexibler Server herstellen können.
   Name der Netzwerkschnittstelle	Der Name, den Sie der Netzwerkschnittstelle zuweisen möchten, die dem privaten Endpunkt zugeordnet ist.	Ein eindeutiger Name, der die Netzwerkschnittstelle identifiziert, die dem privaten Endpunkt zugeordnet ist.
   Region	Der Name einer der Regionen, in denen Sie private Endpunkte für Azure Database for PostgreSQL – Flexible Server erstellen können.	Die ausgewählte Region muss mit der Region des virtuellen Netzwerks übereinstimmen, in dem Sie den privaten Endpunkt bereitstellen möchten.

9. Füllen Sie auf der Seite Ressource alle erforderlichen Details aus. Wählen Sie anschließend Weiter: Virtuelles Netzwerk aus.

   

10. Die folgende Tabelle dient als Erklärung der verschiedenen Felder auf der Seite Ressource und als Anleitung zum Ausfüllen der Seite:

    Einstellung	Vorgeschlagener Wert	Beschreibung
    Ressourcentyp	Automatisch auf Microsoft.DBforPostgreSQL/flexibleServers festgelegt	Dieser Wert wird automatisch für Sie ausgewählt und entspricht dem Ressourcentyp von Azure Database for PostgreSQL – Flexibler Server aus der Sicht von Azure Private Link.
    Ressource	Automatisch auf den Namen der Instanz von Azure Database for PostgreSQL – Flexibler Server festgelegt, für die Sie den privaten Endpunkt erstellen.	Der Name der Ressource, mit der der private Endpunkt eine Verbindung herstellt.
    Zielunterressource	Automatisch auf postgresqlServer festgelegt.	Der Typ der Unterressource für die ausgewählte Ressource, auf die Ihr privater Endpunkt zugreifen kann.

11. Füllen Sie auf der Seite Virtuelles Netzwerk alle erforderlichen Details aus. Wählen Sie anschließend Weiter: DNS aus.

    

12. Die folgende Tabelle dient als Erklärung der verschiedenen Felder auf der Seite Virtuelles Netzwerk und als Anleitung zum Ausfüllen der Seite:

    Einstellung	Vorgeschlagener Wert	BESCHREIBUNG
    Virtuelles Netzwerk	Automatisch auf das erste virtuelle Netzwerk (sortiert in alphabetischer Reihenfolge) festgelegt, das im ausgewählten Abonnement und der ausgewählten Region verfügbar ist.	Nur virtuelle Netzwerke im aktuell ausgewählten Abonnement und in der aktuell ausgewählten Region, für die Sie über Berechtigungen verfügen, werden aufgeführt.
    Subnetz	Automatisch auf den Namen der Instanz von Azure Database for PostgreSQL – Flexibler Server festgelegt, für die Sie den privaten Endpunkt erstellen.	Es werden nur Subnetze im aktuell ausgewählten virtuellen Netzwerk aufgelistet.
    Netzwerkrichtlinie für private Endpunkte	Standardmäßig sind Netzwerkrichtlinien für ein Subnetz in einem virtuellen Netzwerk deaktiviert. Sie können Netzwerkrichtlinien entweder nur für Netzwerksicherheitsgruppen, nur für benutzerdefinierte Routen oder für beide aktivieren.	Damit Netzwerkrichtlinien wie benutzerdefinierte Routen- und Netzwerksicherheitsgruppen-Support genutzt werden können, muss der Netzwerkrichtlinien-Support für das Subnetz aktiviert sein. Diese Einstellung gilt nur für private Endpunkte im Subnetz und wirkt sich auf alle privaten Endpunkte im Subnetz aus. Für andere Ressourcen im Subnetz wird der Zugriff basierend auf Sicherheitsregeln in der Netzwerksicherheitsgruppe gesteuert. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.
    Konfiguration der privaten IP-Adresse	Automatisch so festgelegt, dass eine der verfügbaren IP-Adressen im Bereich, der dem ausgewählten Subnetz zugewiesen ist, dynamisch zugewiesen wird.	Diese IP-Adresse ist die Adresse, die der dem privaten Endpunkt zugeordneten Netzwerkschnittstelle zugewiesen ist. Sie kann dynamisch aus dem Bereich zugewiesen werden, der dem ausgewählten Subnetz zugewiesen ist, oder Sie können entscheiden, welche konkrete Adresse Sie zuweisen möchten. Nachdem der private Endpunkt erstellt wurde, können Sie dessen IP-Adresse nicht ändern, unabhängig davon, welchen der beiden Zuordnungsmodi Sie während der Erstellung auswählen.
    Anwendungssicherheitsgruppe	Standardmäßig ist keine Anwendungssicherheitsgruppe zugewiesen. Sie können eine vorhandene auswählen oder eine erstellen und zuweisen.	Mit Anwendungssicherheitsgruppen können Sie die Netzwerksicherheit als natürliche Erweiterung einer Anwendungsstruktur konfigurieren und virtuelle Computer gruppieren sowie auf der Grundlage dieser Gruppen Netzwerksicherheitsrichtlinien definieren. Sie können Ihre Sicherheitsrichtlinie nach Bedarf wiederverwenden, ohne dass Sie explizite IP-Adressen manuell warten müssen. Die Plattform übernimmt die komplexe Verarbeitung von expliziten IP-Adressen und mehreren Regelsätzen, damit Sie sich auf Ihre Geschäftslogik konzentrieren können. Weitere Informationen finden Sie unter Anwendungssicherheitsgruppen.

13. Füllen Sie auf der Seite DNS alle erforderlichen Details aus. Wählen Sie anschließend Weiter: Tags aus.

    

14. Die folgende Tabelle dient als Erklärung der verschiedenen Felder auf der Seite DNS und als Anleitung zum Ausfüllen der Seite:

    Einstellung	Vorgeschlagener Wert	Beschreibung
    Integration in eine private DNS-Zone	Standardmäßig aktiviert.	Wählen Sie Ja aus, wenn Ihr privater Endpunkt in eine private DNS-Zone von Azure integriert werden soll, oder Nein, wenn Sie Ihre eigenen DNS-Server verwenden möchten oder wenn Sie den Namen des Endpunkts mithilfe von Hostdateien auf den Computern auflösen möchten, von denen aus Sie eine Verbindung über den privaten Endpunkt herstellen möchten. Weitere Informationen finden Sie unter DNS-Konfiguration für private Endpunkte. Wenn Sie die Integration privater DNS-Zonen konfigurieren, wird die private DNS-Zone automatisch mit dem virtuellen Netzwerk verknüpft, in dem Sie den privaten Endpunkt erstellen.
    Konfigurationsname	Automatisch auf privatelink-postgres-database-azure-com festgelegt.	Der Name, der der DNS-Konfiguration zugewiesen ist, die der privaten DNS-Zone zugeordnet ist.
    Abonnement	Wählen Sie den Namen des Abonnements aus, in dem Sie die private DNS-Zone erstellen möchten. Es wird automatisch das Abonnement ausgewählt, in dem Ihr Server bereitgestellt wird.	Ein Abonnement ist eine Vereinbarung mit Microsoft über die Nutzung einer oder mehrerer Microsoft Cloud-Plattformen oder -Dienste, für die Gebühren entweder auf der Grundlage einer Lizenzgebühr pro Benutzer oder des cloudbasierten Ressourcenverbrauchs anfallen. Falls Sie über mehrere Abonnements verfügen, wählen Sie das Abonnement aus, über das die Ressource abgerechnet werden soll.
    Ressourcengruppe	Die Ressourcengruppe im ausgewählten Abonnement, in dem Sie die private DNS-Zone erstellen möchten. Dies muss eine vorhandene Ressourcengruppe sein. Es wird automatisch die Ressourcengruppe ausgewählt, in der Ihr Server bereitgestellt wird.	Eine Ressourcengruppe ist ein Container, der verwandte Ressourcen für eine Azure-Lösung enthält. Die Ressourcengruppe kann alle Ressourcen für die Lösung oder nur die Ressourcen enthalten, die Sie als Gruppe verwalten möchten. Sie entscheiden in Abhängigkeit davon, was für Ihre Organisation am sinnvollsten ist, wie Sie die Ressourcen den Ressourcengruppen zuordnen möchten. Im Allgemeinen fügen Sie einer Ressourcengruppe Ressourcen hinzu, die den gleichen Lebenszyklus haben, damit Sie diese einfacher als Gruppe bereitstellen, aktualisieren und löschen können.
    Private DNS-Zone	Automatisch auf privatelink.postgres.database.azure.com festgelegt.	Dieser Name ist der Name, der der privaten DNS-Zonenressource zugewiesen ist.

15. Füllen Sie auf der Seite Tags alle erforderlichen Details aus. Wählen Sie dann Weiter: Überprüfen + erstellen aus.

    

16. Verwenden Sie die folgende Tabelle, um die Bedeutung der verschiedenen Felder zu verstehen, die auf der Seite Tags verfügbar sind, und als Anleitung zum Ausfüllen der Seite:

    Einstellung	Vorgeschlagener Wert	Beschreibung
    Name	Lassen Sie dieses Feld leer.	Der Name des Tags, das Sie Ihrem privaten Endpunkt und Ihrer privaten DNS-Zone zuweisen möchten (wenn Sie die Integration privater DNS-Zonen auf der Seite DNS ausgewählt haben).
    Wert	Lassen Sie dieses Feld leer.	Der Wert, den Sie dem Tag mit dem angegebenen Namen zuweisen möchten und den Sie Ihrem privaten Endpunkt und Ihrer privaten DNS-Zone zuweisen möchten (wenn Sie die Integration privater DNS-Zonen auf der Seite DNS ausgewählt haben).
    Ressource	Standardwert übernehmen.	Sie können auswählen, welchen Ressourcen der angegebene Tag zugewiesen werden soll. Es kann sich um den privaten Endpunkt, die private DNS-Zone (wenn Sie die Integration privater DNS-Zonen auf der Seite DNS ausgewählt haben) oder beide handeln.

17. Stellen Sie auf der Seite Überprüfen + erstellen sicher, dass alles wie gewünscht konfiguriert ist. Wählen Sie dann Erstellen aus.

    

18. Eine Bereitstellung wird initiiert, und Sie sehen eine Benachrichtigung, wenn die Bereitstellung abgeschlossen ist.

    

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Wenn Sie über die erforderlichen Berechtigungen zum Bereitstellen eines privaten Endpunkts und zum Genehmigen der privaten Endpunktverbindung mit Ihrem Server verfügen, können Sie die Verbindung mit dem privaten Endpunkt über den Befehl az network private-endpoint create erstellen.

So erstellen Sie den privaten Endpunkt und weisen seiner Netzwerkschnittstelle eine IP-Adresse zu, die aus dem dem ausgewählten Subnetz zugewiesenen Bereich dynamisch zugewiesen wurde:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

So erstellen Sie den privaten Endpunkt und weisen seiner Netzwerkschnittstelle eine IP-Adresse zu, die aus dem dem ausgewählten Subnetz zugewiesenen Bereich statisch zugewiesen wurde:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Wenn Sie über die erforderlichen Berechtigungen verfügen, sollte die private Endpunktverbindung automatisch genehmigt werden. Wenn dies der Fall ist, zeigt die Ausgabe des folgenden Befehls status als Approved und description als Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create erstellt eine private privatelink.postgres.database.azure.com-DNS-Zone, falls sie nicht vorhanden ist. Außerdem wird die private DNS-Zone mit dem virtuellen Netzwerk verknüpft, in dem der private Endpunkt erstellt wird. Es wird jedoch keine DNS-Zonengruppe im privaten Endpunkt erstellt. Wenn Sie möchten, können Sie Ihren privaten Endpunkt in eine private DNS-Zone integrieren. Gehen Sie wie folgt vor:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Wenn Sie versuchen, den privaten Endpunkt mit einer statisch zugewiesenen privaten IP-Adresse zu erstellen, und die angegebene Adresse bereits von einer anderen Netzwerkschnittstelle verwendet wird, wird die folgende Fehlermeldung angezeigt:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Wenn Sie versuchen, den privaten Endpunkt zu erstellen, und das virtuelle Netzwerk, auf das über die Parameter --subscription, --resource-group und --vnet-name verwiesen wird, nicht vorhanden ist, oder wenn das virtuelle Netzwerk vorhanden ist, aber die Region, in der es bereitgestellt wird, nicht mit der Region übereinstimmt, in der Sie den privaten Endpunkt bereitstellen möchten, erhalten Sie die folgende Fehlermeldung:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Wenn Sie versuchen, den privaten Endpunkt zu erstellen, und bereits einer mit demselben Namen vorhanden ist, Sie jedoch einen anderen Wert für --connection-name oder für --vnet-name angeben, wird die folgende Fehlermeldung angezeigt:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Wenn Sie versuchen, den privaten Endpunkt zu erstellen, und bereits einer mit demselben Namen vorhanden ist, Sie jedoch einen anderen Wert für --subnet angeben, wird die folgende Fehlermeldung angezeigt:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Wenn Sie versuchen, den privaten Endpunkt zu erstellen, und bereits einer mit demselben Namen vorhanden ist, Sie jedoch einen anderen Wert für --location angeben, wird die folgende Fehlermeldung angezeigt:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Zugehöriger Inhalt

• Netzwerk.
• Aktivieren des öffentlichen Zugriffs
• Deaktivieren des öffentlichen Zugriffs
• Hinzufügen von Firewallregeln
• Löschen von Firewallregeln
• Löschen von privaten Endpunktverbindungen
• Genehmigen von privaten Endpunktverbindungen
• Ablehnen privater Endpunktverbindungen