Ajouter des connexions de point de terminaison privé

Azure Database pour PostgreSQL – Serveur flexible est un service Azure Private Link. Cela signifie que vous pouvez créer des points de terminaison privés afin que vos applications clientes puissent se connecter de manière privée et sécurisée à votre serveur flexible Azure Database pour PostgreSQL.

Un point de terminaison privé à votre serveur flexible Azure Database pour PostgreSQL est une interface réseau que vous pouvez injecter dans un sous-réseau d'un réseau virtuel Azure. Tout hôte ou service pouvant acheminer le trafic réseau vers ce sous-réseau est en mesure de communiquer avec votre serveur flexible, de sorte que le trafic réseau n'a pas à traverser l'internet. Tout le trafic est envoyé dans le cadre d’une connexion privée à l’aide de l’infrastructure principale Microsoft.

Pour plus d’informations sur Azure Private Link et le point de terminaison privé Azure, consultez Questions fréquentes sur Azure Private Link.

Portail

À l’aide du Portail Azure :

1. Sélectionnez votre serveur flexible Azure Database pour PostgreSQL.

2. Dans le menu de ressources, sélectionnez Vue d’ensemble.

   

3. L’état du serveur doit être Disponible pour que l’option de menu Mise en réseau soit activée.

   

4. Si l’état du serveur n’est pas Disponible, l’option Mise en réseau est désactivée.

   

Remarque

Toute tentative de configuration des paramètres de mise en réseau d’un serveur dont l’état est autre que Disponible échoue avec une erreur.

5. Dans le menu de la ressource, sélectionnez Mise en réseau.

   

6. Si vous disposez des autorisations requises pour déployer un point de terminaison privé, vous pouvez le créer en sélectionnant Ajouter un point de terminaison privé.

   

Remarque

Pour en savoir plus sur les autorisations nécessaires pour déployer un point de terminaison privé, consultez Autorisations RBAC Azure pour Azure Private Link.

7. Dans la page Informations de base, renseignez tous les détails requis. Sélectionnez ensuite Suivant : Ressource .

   

8. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page Informations de base et comme conseils pour vous aider à remplir la page :

   Setting	Valeur suggérée	Description
   Abonnement	Sélectionnez le nom de l’abonnement dans lequel vous souhaitez créer la ressource. Il sélectionne automatiquement l'abonnement dans lequel votre serveur est déployé.	Un abonnement est un contrat passé avec Microsoft permettant d’utiliser une ou plusieurs plateformes ou services cloud Microsoft, dont les frais correspondants sont basés soit sur un tarif de licence par utilisateur soit sur la consommation de ressources cloud. Si vous disposez de plusieurs abonnements, choisissez celui dans lequel vous souhaitez que la ressource soit facturée.
   Groupe de ressources	Le groupe de ressources dans l’abonnement sélectionné, dans lequel vous souhaitez créer le point de terminaison privé. Il peut s’agir d’un groupe de ressources existant. Sinon, vous pouvez sélectionner Créer et fournir un nom qui ne figure pas déjà parmi les noms de groupes de ressources existants dans cet abonnement. Il sélectionne automatiquement le groupe de ressources dans lequel votre serveur est déployé.	Un groupe de ressources est un conteneur réunissant les ressources associées d’une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement celles que vous souhaitez gérer en tant que groupe. Pour déterminer comment allouer des ressources aux groupes de ressources, choisissez l’approche la plus pertinente pour votre organisation. En règle générale, il convient d’ajouter des ressources qui partagent le même cycle de vie dans un même groupe de ressources afin de pouvoir facilement les déployer, les mettre à jour et les supprimer en tant que groupe.
   Nom	Le nom que vous souhaitez affecter au point de terminaison privé.	Un nom unique qui identifie le point de terminaison privé par lequel vous pouvez vous connecter à votre serveur flexible Azure Database pour PostgreSQL.
   Nom de l’interface réseau	Le nom que vous souhaitez attribuer à l'interface réseau associée au point de terminaison privé.	Un nom unique qui identifie l'interface réseau associée au point de terminaison privé.
   Région	Nom de l’une des régions dans lesquelles vous pouvez créer des points de terminaison privés pour Azure Database pour PostgreSQL : serveur flexible.	La région que vous sélectionnez doit correspondre à celle du réseau virtuel dans lequel vous prévoyez de déployer le point de terminaison privé.

9. Dans la page Ressource, renseignez tous les détails requis. Sélectionnez ensuite Suivant : Réseau virtuel Microsoft Azure.

   

10. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page Ressource et comme conseils pour vous aider à remplir la page :

    Setting	Valeur suggérée	Description
    Type de ressource	Défini automatiquement sur Microsoft.DBforPostgreSQL/flexibleServers	Cette valeur est automatiquement choisie pour vous et correspond au type de ressource qu'est un serveur flexible Azure Database pour PostgreSQL, aux yeux d’Azure Private Link.
    Ressource	Automatiquement défini sur le nom du serveur flexible Azure Database pour PostgreSQL pour lequel vous créez le point de terminaison privé.	Le nom de la ressource à laquelle le point de terminaison privé se connecte.
    Sous-ressource cible	Défini automatiquement sur postgresqlServer.	Type de sous-ressource de la ressource sélectionnée, à laquelle votre point de terminaison privé peut accéder.

11. Dans la page Réseau virtuel, renseignez tous les détails requis. Puis sélectionnez Suivant : DNS.

    

12. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page Réseau virtuel et comme conseils pour vous aider à remplir la page :

    Setting	Valeur suggérée	Description
    Réseau virtuel	Automatiquement réglé sur le premier réseau virtuel (trié par ordre alphabétique) disponible dans l'abonnement et la région sélectionnés.	Seuls les réseaux virtuels sur lesquels vous avez des autorisations, dans l'abonnement et la région sélectionnés, sont listés.
    Sous-réseau	Automatiquement défini sur le nom du serveur flexible Azure Database pour PostgreSQL pour lequel vous créez le point de terminaison privé.	Seuls les sous-réseaux du réseau virtuel sélectionné sont listés.
    Stratégie réseau pour les points de terminaison privés	Par défaut, les stratégies réseau sont désactivées pour un sous-réseau dans un réseau virtuel. Vous pouvez activer les stratégies réseau pour les groupes de sécurité réseau uniquement, pour les itinéraires définis par l’utilisateur uniquement ou pour les deux.	Pour utiliser des stratégies réseau telles que les itinéraires définis par l’utilisateur et la prise en charge du groupe de sécurité réseau, la prise en charge de la stratégie réseau doit être activée pour le sous-réseau. Ce paramètre s’applique uniquement aux points de terminaison privés dans le sous-réseau et affecte tous les points de terminaison privés du sous-réseau. Pour les autres ressources du sous-réseau, l’accès est contrôlé en fonction des règles de sécurité du groupe de sécurité réseau. Pour en savoir plus, consultez Gestion des stratégies réseau pour les points de terminaison privés.
    Configuration d’adresse IP privée	Automatiquement défini pour allouer dynamiquement l'une des adresses IP disponibles dans la plage attribuée au sous-réseau sélectionné.	Cette adresse IP est celle attribuée à l'interface réseau associée au point de terminaison privé. Elle peut être attribuée dynamiquement à partir de la plage attribuée au sous-réseau sélectionné, ou vous pouvez décider de l'adresse spécifique que vous souhaitez lui attribuer. Une fois le point de terminaison privé créé, vous ne pouvez pas modifier son adresse IP, quel que soit le mode d'attribution choisi lors de la création.
    Groupe de sécurité d’application	Aucun groupe de sécurité des applications n'est attribué par défaut. Vous pouvez choisir un modèle existant ou en créer un et l'attribuer.	Les groupes de sécurité d'application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l'application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d'adresses IP explicites. La plateforme gère la complexité des adresses IP explicites et plusieurs ensembles de règles, ce qui vous permet de vous concentrer sur la logique métier. Pour plus d’informations, consultez Groupes de sécurité d’application.

13. Dans la page DNS, renseignez tous les détails requis. Ensuite, sélectionnez Suivant : Balises.

    

14. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page DNS et comme conseils pour vous aider à remplir la page :

    Setting	Valeur suggérée	Description
    Intégrer à une zone DNS privée	Option activée par défaut.	Sélectionnez Oui si vous souhaitez que votre point de terminaison privé soit intégré à une zone DNS privée Azure, ou Non si vous souhaitez utiliser vos propres serveurs DNS, ou si vous souhaitez résoudre le nom du point de terminaison à l’aide de fichiers hôtes dans les ordinateurs à partir desquels vous souhaitez vous connecter via le point de terminaison privé. Pour plus d’informations, consultez Configuration DNS des points de terminaison privés. Si vous configurez l'intégration de la zone DNS privée, la zone DNS privée est automatiquement liée au réseau virtuel dans lequel vous créez le point de terminaison privé.
    Nom de la configuration	Définissez automatiquement pour vous l’option privatelink-postgres-database-azure-com.	Le nom attribué à la configuration DNS qui est associée à la zone DNS privée.
    Abonnement	Sélectionnez le nom de l’abonnement dans lequel vous souhaitez créer la zone DNS privée. Il sélectionne automatiquement l'abonnement dans lequel votre serveur est déployé.	Un abonnement est un contrat passé avec Microsoft permettant d’utiliser une ou plusieurs plateformes ou services cloud Microsoft, dont les frais correspondants sont basés soit sur un tarif de licence par utilisateur soit sur la consommation de ressources cloud. Si vous disposez de plusieurs abonnements, choisissez celui dans lequel vous souhaitez que la ressource soit facturée.
    Groupe de ressources	Le groupe de ressources dans l’abonnement sélectionné, dans lequel vous souhaitez créer la zone DNS privée. Il doit s’agir d’un groupe de ressources existant. Il sélectionne automatiquement le groupe de ressources dans lequel votre serveur est déployé.	Un groupe de ressources est un conteneur réunissant les ressources associées d’une solution Azure. Le groupe de ressources peut inclure toutes les ressources de la solution, ou uniquement celles que vous souhaitez gérer en tant que groupe. Pour déterminer comment allouer des ressources aux groupes de ressources, choisissez l’approche la plus pertinente pour votre organisation. En règle générale, il convient d’ajouter des ressources qui partagent le même cycle de vie dans un même groupe de ressources afin de pouvoir facilement les déployer, les mettre à jour et les supprimer en tant que groupe.
    Zone DNS privée	Définissez automatiquement pour vous l’option privatelink.postgres.database.azure.com.	Ce nom est celui attribué à la ressource de la zone DNS privée.

15. Dans la page Balises, renseignez tous les détails requis. Ensuite, sélectionnez Suivant : Vérifier + créer.

    

16. Utilisez le tableau suivant pour comprendre la signification des différents champs disponibles sur la page Balises et comme conseils pour vous aider à remplir la page :

    Setting	Valeur suggérée	Description
    Nom	Laissez ce champ vide.	Nom de la balise que vous souhaitez affecter à votre point de terminaison privé et à votre zone DNS privée (si vous avez sélectionné l’intégration de zone DNS privée dans la page DNS).
    Valeur	Laissez ce champ vide.	Valeur que vous souhaitez attribuer à la balise avec le nom donnée, et que vous souhaitez affecter à votre point de terminaison privé et à votre zone DNS privée (si vous avez sélectionné l’intégration de zone DNS privée dans la page DNS).
    Ressource	Laisser par défaut.	Vous pouvez sélectionner les ressources auxquelles vous souhaitez que la balise donnée soit attribuée. Il peut s’agir du point de terminaison privé, de la zone DNS privée (si vous avez sélectionné l’intégration de zone DNS privée dans la page DNS), ou les deux.

17. Dans la page Vérifier + créer, vérifiez que tout est configuré comme vous le souhaitez. Sélectionnez ensuite Create (Créer).

    

18. Un déploiement est lancé et vous recevez une notification lorsque le déploiement est terminé.

    

INTERFACE DE LIGNE DE COMMANDE

Si vous disposez des autorisations requises pour déployer un point de terminaison privé et approuver la connexion de point de terminaison privé à votre serveur, vous pouvez créer la connexion de point de terminaison privé via la commande az network private-endpoint create.

Pour créer le point de terminaison privé et attribuer à son interface réseau une adresse IP allouée dynamiquement à partir de la plage attribuée au sous-réseau sélectionné :

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Pour créer le point de terminaison privé et attribuer à son interface réseau une adresse IP allouée de manière statique à partir de la plage attribuée au sous-réseau sélectionné :

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Si vous disposez des autorisations nécessaires, la connexion au point de terminaison privé devrait être automatiquement approuvée. Si c'est le cas, la sortie de la commande suivante indiquera status comme Approved, et description comme Auto-Approved :

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Le az network private-endpoint create crée une zone DNS privée privatelink.postgres.database.azure.com, si elle n’existe pas. Il relie la zone DNS privée au réseau virtuel dans lequel le point de terminaison privé est créé. Cependant, cela ne crée pas de groupe de zones DNS dans le point de terminaison privé. Si vous le souhaitez, vous pouvez intégrer votre point de terminaison privé avec une zone DNS privée. Procédure

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Si vous essayez de créer le point de terminaison privé avec une adresse IP privée allouée de manière statique et que l'adresse spécifiée est déjà utilisée par une autre interface réseau, vous obtenez l'erreur suivante :

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Si vous essayez de créer le point de terminaison privé et le réseau virtuel référencé par le biais de --subscription, les paramètres --resource-group et --vnet-name n’existent pas. Ou si le réseau virtuel existe, mais que la région dans laquelle il est déployé ne correspond pas à la région dans laquelle vous essayez de déployer le point de terminaison privé, vous obtenez l'erreur suivante :

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Si vous essayez de créer le point de terminaison privé et qu’il existe déjà avec le même nom, mais que vous spécifiez une valeur différente pour --connection-name ou pour --vnet-name, vous obtenez l’erreur suivante :

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Si vous essayez de créer le point de terminaison privé et qu’il existe déjà avec le même nom, mais que vous spécifiez une valeur différente pour --subnet, vous obtenez l’erreur suivante :

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Si vous essayez de créer le point de terminaison privé et qu’il existe déjà avec le même nom, mais que vous spécifiez une valeur différente pour --location, vous obtenez l’erreur suivante :

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Contenu connexe

• Mise en réseau.
• Activer l’accès public.
• Désactiver l’accès public.
• Ajouter des règles de pare-feu.
• Supprimer des règles de pare-feu.
• Supprimer des connexions de point de terminaison privé.
• Approuver des connexions de point de terminaison privé.
• Refuser des connexions de point de terminaison privé.