Adición de conexiones de punto de conexión privado

Azure Database for PostgreSQL: servidor flexible es un servicio de Azure Private Link. Esto significa que puede crear puntos de conexión privados para que las aplicaciones cliente puedan conectarse de forma privada y segura al servidor flexible de Azure Database for PostgreSQL.

Un punto de conexión privado al servidor flexible de Azure Database for PostgreSQL es una interfaz de red que se puede insertar en una subred de una red virtual de Azure. Cualquier host o servicio que pueda enrutar el tráfico de red a esa subred, puede comunicarse con el servidor flexible para que el tráfico de red no tenga que atravesar Internet. Todo el tráfico se envía de forma privada mediante la red troncal de Microsoft.

Para más información sobre Azure Private Link y el punto de conexión privado de Azure, consulte Preguntas más frecuentes sobre Azure Private Link.

Portal

Mediante Azure Portal:

1. Seleccione el servidor flexible de Azure Database for PostgreSQL.

2. En el menú de recursos, seleccione Información general.

   

3. El estado del servidor debe ser Disponible, para que la opción de menú Redes esté habilitada.

   

4. Si el estado del servidor no está Disponible, la opción Redes está deshabilitada.

   

Nota:

Cualquier intento de configurar las opciones de red de un servidor cuyo estado no sea disponible, producirá un error.

5. En el menú de recursos, seleccione Redes.

   

6. Si tiene los permisos necesarios para implementar un punto de conexión privado, puede crearlo seleccionando Agregar punto de conexión privado.

   

Nota:

Para obtener información sobre los permisos necesarios para implementar un punto de conexión privado, consulte Permisos de RBAC de Azure para Azure Private Link.

7. En la página Aspectos básicos, rellene todos los detalles necesarios. Después, seleccione Siguiente: Recurso.

   

8. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página Aspectos básicos, y como guía para rellenar la página:

   Configuración	Valor sugerido	Descripción
   Suscripción	Seleccione el nombre de la suscripción en la que quiere crear el recurso. Selecciona automáticamente la suscripción en la que se implementa el servidor.	Una suscripción es un contrato con Microsoft para usar una o varias plataformas, o servicios en la nube de Microsoft, para los que se acumulan cargos en función de una cuota de licencia por usuario o del consumo de recursos basados en la nube. Si tiene varias suscripciones, elija aquella en la que quiere que se le facture el recurso.
   Grupo de recursos	El grupo de recursos de la suscripción seleccionada, en el que quiere crear el punto de conexión privado. Puede ser un grupo de recursos existente, o puede seleccionar Crear nuevo, y proporcionar un nombre en esa suscripción que sea único entre los nombres de grupos de recursos existentes. Selecciona automáticamente el grupo de recursos en el que se implementa el servidor.	Un grupo de recursos es un contenedor que almacena los recursos relacionados con una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo aquellos que se desean administrar como grupo. Para decidir cómo asignar los recursos a los grupos de recursos, tenga en cuenta lo que más conviene a su organización. Por lo general, se recomienda agregar recursos que compartan el mismo ciclo de vida al mismo grupo de recursos para que los pueda implementar, actualizar y eliminar con facilidad como un grupo.
   Nombre	El nombre que quiere asignar al punto de conexión privado.	Un nombre único que identifica el punto de conexión privado a través del cual puede conectarse al servidor flexible de Azure Database for PostgreSQL.
   Nombre de la interfaz de red	Nombre que desea asignar a la interfaz de red asociada al punto de conexión privado.	Nombre único que identifica la interfaz de red asociada al punto de conexión privado.
   Región	Nombre de una de las regiones en las que puede crear puntos de conexión privados para Azure Database for PostgreSQL: servidor flexible.	La región que seleccione debe coincidir con la de la red virtual en la que planea implementar el punto de conexión privado.

9. En la página Recursos, rellene todos los detalles necesarios. A continuación, seleccione Siguiente: Red virtual.

   

10. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página Recurso, y como guía para rellenar la página:

    Configuración	Valor sugerido	Descripción
    Tipo de recurso	Establecer automáticamente en Microsoft.DBforPostgreSQL/flexibleServers	Este valor se elige automáticamente y corresponde al tipo de recurso que es un servidor flexible de Azure Database for PostgreSQL, a los ojos de Azure Private Link.
    Recurso	Se ha establecido automáticamente en el nombre del servidor flexible de Azure Database for PostgreSQL para el que va a crear el punto de conexión privado.	Nombre del recurso al que se conecta el punto de conexión privado.
    Recurso secundario de destino	Se ha establecido automáticamente en postgresqlServer.	Tipo de subrecurso del recurso seleccionado anteriormente al que podrá acceder su punto de conexión privado.

11. En la página Red virtual, rellene todos los detalles necesarios. A continuación, seleccione Siguiente: DNS.

    

12. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página Red virtual, y como guía para rellenar la página:

    Configuración	Valor sugerido	Descripción
    Red virtual	Se establece automáticamente en la primera red virtual (ordenada en orden alfabético) disponible en la suscripción y región seleccionadas.	Solo se muestran las redes virtuales en las que tiene permisos, en la suscripción y la región seleccionadas actualmente.
    Subred	Se ha establecido automáticamente en el nombre del servidor flexible de Azure Database for PostgreSQL para el que va a crear el punto de conexión privado.	Solo se muestran las subredes de la red virtual seleccionada actualmente.
    Directiva de red para los puntos de conexión privados	De forma predeterminada, las directivas de red están deshabilitadas para una subred de una red virtual. Puede habilitar las directivas de red para grupos de seguridad de red, solo para rutas definidas por el usuario o para ambos.	Para usar directivas de red como el soporte de rutas definidas por el usuario y grupos de seguridad de red, el soporte de directivas de red debe estar habilitado para la subred. Esta configuración solo se aplica a los puntos de conexión privados de la subred y afecta a todos los puntos de conexión privados de la subred. Para otros recursos de la subred, el acceso se controla en función de las reglas de seguridad del grupos de seguridad de red. Para obtener más información, consulte Administración de directivas de red para puntos de conexión privados.
    Configuración de IP privada	Se establece automáticamente para asignar dinámicamente una de las direcciones IP disponibles en el intervalo asignado a la subred seleccionada.	Esta dirección IP es la asignada a la interfaz de red asociada al punto de conexión privado. Se puede asignar dinámicamente desde el intervalo asignado a la subred seleccionada, o puede decidir qué dirección específica desea asignarle. Una vez creado el punto de conexión privado, no se puede cambiar su dirección IP, independientemente de cuál de los dos modos de asignación seleccione durante la creación.
    Grupo de seguridad de aplicaciones	No se asigna ningún grupo de seguridad de aplicaciones de forma predeterminada. Puede elegir uno existente o puede crear uno y asignarlo.	Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas. La plataforma controla la complejidad de las direcciones IP explícitas y de varios conjuntos de reglas, lo que le permite centrarse en su lógica de negocios. Para más información, consulte Grupos de seguridad de aplicaciones.

13. En la página DNS, rellene todos los detalles necesarios. Después, seleccione Siguiente: Etiquetas.

    

14. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página DNS, y como guía para rellenar la página:

    Configuración	Valor sugerido	Descripción
    Integración con una zona DNS privada	De forma predeterminada está habilitado.	Seleccione Sí si quiere que el punto de conexión privado se integre con una zona DNS privada de Azure o No si desea usar sus propios servidores DNS o resolver el nombre del punto de conexión mediante archivos host en las máquinas desde las que quiera conectarse a través del punto de conexión privado. Para más información, consulte Configuración de DNS para puntos de conexión privados. Si configura la integración de la zona DNS privada, la zona DNS privada se vincula automáticamente a la red virtual en la que se crea el punto de conexión privado.
    Nombre de configuración	Se ha establecido automáticamente para que privatelink-postgres-database-azure-com.	Nombre asignado a la configuración DNS que está asociada a la zona DNS privada.
    Suscripción	Seleccione el nombre de la suscripción en la que quiere crear la zona DNS privada. Selecciona automáticamente la suscripción en la que se implementa el servidor.	Una suscripción es un contrato con Microsoft para usar una o varias plataformas, o servicios en la nube de Microsoft, para los que se acumulan cargos en función de una cuota de licencia por usuario o del consumo de recursos basados en la nube. Si tiene varias suscripciones, elija aquella en la que quiere que se le facture el recurso.
    Grupo de recursos	El grupo de recursos de la suscripción seleccionada en el que quiere crear la zona DNS privada. Debe ser un grupo de recursos existente. Selecciona automáticamente el grupo de recursos en el que se implementa el servidor.	Un grupo de recursos es un contenedor que almacena los recursos relacionados con una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo aquellos que se desean administrar como grupo. Para decidir cómo asignar los recursos a los grupos de recursos, tenga en cuenta lo que más conviene a su organización. Por lo general, se recomienda agregar recursos que compartan el mismo ciclo de vida al mismo grupo de recursos para que los pueda implementar, actualizar y eliminar con facilidad como un grupo.
    Zona DNS privada	Se ha establecido automáticamente para que privatelink.postgres.database.azure.com.	Este nombre es el asignado al recurso de zona DNS privada.

15. En la página Etiquetas, rellene todos los detalles necesarios. Luego seleccione Siguiente: Revisar + crear.

    

16. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página Etiquetas, y como guía para rellenar la página:

    Configuración	Valor sugerido	Description
    Nombre	Dejar en blanco.	Nombre de la etiqueta que quiere asignar al punto de conexión privado y a la zona DNS privada (si seleccionó la integración de la zona DNS privada en la página DNS).
    Valor	Dejar en blanco.	Valor que quiera asignar a la etiqueta con el nombre especificado y que desea asignar a su punto de conexión privado y a la zona DNS privada (si seleccionó la integración de la zona DNS privada en la página DNS).
    Recurso	"Salir" de forma predeterminada.	Puede seleccionar los recursos a los que quiera asignar la etiqueta especificada. Puede ser el punto de conexión privado, la zona DNS privada (si seleccionó la integración de la zona DNS privada en la página DNS), o ambas.

17. En la página Revisar y crear, asegúrese de que todo esté configurado como desee. Seleccione Crear.

    

18. Se inicia una implementación y se ve una notificación cuando se completa la implementación.

    

CLI

Si tiene los permisos necesarios para implementar un punto de conexión privado y aprobar la conexión de punto de conexión privado al servidor, puede crear la conexión de punto de conexión privado a través del comando az network private-endpoint create.

Para crear el punto de conexión privado y asignar a su interfaz de red una dirección IP asignada dinámicamente desde el intervalo asignado a la subred seleccionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Para crear el punto de conexión privado y asignar a su interfaz de red una dirección IP asignada estáticamente desde el intervalo asignado a la subred seleccionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Si tenía los permisos necesarios, la conexión de punto de conexión privado debería aprobarse automáticamente. Si es así, la salida del comando siguiente mostrará status como Approved y description como Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

El az network private-endpoint create crea una zona DNS privada privatelink.postgres.database.azure.com, si no existe. Y vincula la zona DNS privada a la red virtual en la que se crea el punto de conexión privado. Sin embargo, no crea un grupo de zonas DNS en el punto de conexión privado. Si lo desea, puede integrar el punto de conexión privado con una zona DNS privada. Para ello:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Si intenta crear el punto de conexión privado con una dirección IP privada asignada estáticamente y la dirección especificada ya la usa alguna otra interfaz de red, obtendrá el siguiente error:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Si intenta crear el punto de conexión privado y la red virtual a la que se hace referencia a través de la --subscription, los parámetros --resource-group y --vnet-name no existen. O bien, si la red virtual existe, pero la región en la que se implementa no coincide con la región en la que intenta implementar el punto de conexión privado, obtendrá el siguiente error:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Si intenta crear el punto de conexión privado y ya existe uno con el mismo nombre, pero especifica un valor diferente para --connection-name o para --vnet-name, obtendrá el siguiente error:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Si intenta crear el punto de conexión privado y ya existe uno con el mismo nombre, pero especifica un valor diferente para --subnet, obtendrá el siguiente error:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Si intenta crear el punto de conexión privado y ya existe uno con el mismo nombre, pero especifica un valor diferente para --location, obtendrá el siguiente error:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Contenido relacionado

• Funciones de red.
• Habilitación del acceso público.
• Deshabilitación del acceso público.
• Adición de reglas de firewall.
• Eliminación de reglas de firewall.
• Eliminación de conexiones de punto de conexión privado.
• Aprobación de conexiones de punto de conexión privado.
• Rechazo de las conexiones de punto de conexión privado.