Overzicht van netwerken voor Azure Database for PostgreSQL - Flexible Server met openbare toegang (toegestane IP-adressen)
VAN TOEPASSING OP: 
Azure Database for PostgreSQL - Flexibele server
In dit artikel worden de connectiviteits- en netwerkconcepten voor Azure Database for PostgreSQL - Flexible Server beschreven.
Wanneer u een flexibele Azure Database for PostgreSQL-server maakt, moet u een van de volgende netwerkopties kiezen:
- Privétoegang (integratie van virtueel netwerk)
- Openbare toegang (toegestane IP-adressen) en privé-eindpunt
De volgende kenmerken zijn van toepassing of u ervoor kiest om de persoonlijke toegang of de optie voor openbare toegang te gebruiken:
- Verbindingen van toegestane IP-adressen moeten worden geverifieerd bij de flexibele Azure Database for PostgreSQL-server met geldige referenties.
- Verbindingsversleuteling wordt afgedwongen voor uw netwerkverkeer.
- De server heeft een FQDN (Fully Qualified Domain Name). Voor de
hostnameeigenschap in verbindingsreeks s wordt u aangeraden de FQDN te gebruiken in plaats van een IP-adres. - Beide opties beheren de toegang op serverniveau, niet op database- of tabelniveau. U gebruikt de roleigenschappen van PostgreSQL om de toegang tot databases, tabellen en andere objecten te beheren.
Notitie
Omdat Azure Database for PostgreSQL - Flexible Server een beheerde databaseservice is, krijgen gebruikers geen host- of besturingssysteemtoegang om configuratiebestanden zoals pg_hba.confte bekijken of te wijzigen. De inhoud van de bestanden wordt automatisch bijgewerkt op basis van de netwerkinstellingen.
Openbare toegangsnetwerken gebruiken met Azure Database for PostgreSQL - Flexible Server
Wanneer u de methode voor openbare toegang kiest, wordt uw flexibele Azure Database for PostgreSQL-server geopend via een openbaar eindpunt via internet. Het openbare eindpunt is een openbaar omzetbaar DNS-adres. De woordgroep toegestane IP-adressen verwijst naar een bereik van IP-adressen die u toestemming geeft voor toegang tot uw server. Deze machtigingen worden firewallregels genoemd.
Kies deze netwerkoptie als u de volgende mogelijkheden wilt:
- Verbinding maken vanuit Azure-resources die geen ondersteuning bieden voor virtuele netwerken.
- Verbinding maken vanuit resources buiten Azure die niet zijn verbonden met VPN of Azure ExpressRoute.
- Zorg ervoor dat de flexibele Azure Database for PostgreSQL-server een openbaar eindpunt heeft dat toegankelijk is via internet.
Kenmerken van de methode voor openbare toegang zijn:
- Alleen de IP-adressen die u toestaat, hebben toegang tot uw flexibele Azure Database for PostgreSQL-server. Standaard zijn er geen IP-adressen toegestaan. U kunt IP-adressen toevoegen tijdens het maken van de server of later.
- Uw flexibele Azure Database for PostgreSQL-server heeft een openbaar omzetbare DNS-naam.
- Uw flexibele Azure Database for PostgreSQL-server bevindt zich niet in een van uw virtuele Azure-netwerken.
- Netwerkverkeer van en naar uw server gaat niet via een particulier netwerk. Het verkeer maakt gebruik van de algemene internetpaden.
Firewallregels
Firewallregels op serverniveau zijn van toepassing op alle databases op dezelfde flexibele Azure Database for PostgreSQL-server. Als het bron-IP-adres van de aanvraag binnen een van de bereiken valt die zijn opgegeven in de firewallregels op serverniveau, wordt de verbinding verleend. Anders wordt het geweigerd. Als uw toepassing bijvoorbeeld verbinding maakt met het JDBC-stuurprogramma voor PostgreSQL, kan deze fout optreden wanneer u verbinding probeert te maken wanneer de firewall de verbinding blokkeert.
java.util.concurrent.ExecutionException: java.lang.RuntimeException: org.postgresql.util.PSQLException: FATAL: no pg_hba.conf entry for host "123.45.67.890", user "adminuser", database "postgresql", SSL
Notitie
Zorg ervoor dat de firewall op uw netwerk en lokale computer uitgaande communicatie op TCP-poort 5432 toestaat om toegang te krijgen tot Azure Database for PostgreSQL - Flexible Server vanaf uw lokale computer.
Programmatisch beheerde firewallregels
Naast het gebruik van Azure Portal kunt u firewallregels programmatisch beheren met behulp van de Azure CLI. Zie Azure Database for PostgreSQL - Flexible Server-firewallregels maken en beheren met behulp van de Azure CLI voor meer informatie.
Alle Azure IP-adressen toestaan
U wordt aangeraden het uitgaande IP-adres van elke toepassing of service te vinden en expliciet toegang te verlenen tot deze afzonderlijke IP-adressen of bereiken. Als een vast uitgaand IP-adres niet beschikbaar is voor uw Azure-service, kunt u overwegen verbindingen in te schakelen vanaf alle IP-adressen voor Azure-datacenters.
Als u deze instelling vanuit Azure Portal wilt inschakelen, schakelt u in het deelvenster Netwerken het selectievakje Openbare toegang vanuit een Azure-service in Azure naar deze server toestaan in en selecteert u Opslaan.
Belangrijk
Met de optie Openbare toegang toestaan vanuit Azure-services en -resources binnen Azure configureert u de firewall om alle verbindingen vanuit Azure toe te staan, inclusief verbindingen van de abonnementen van andere klanten. Wanneer u deze optie selecteert, moet u ervoor zorgen dat uw aanmeldings- en gebruikersmachtigingen de toegang beperken tot alleen geautoriseerde gebruikers.
Problemen met openbare toegang oplossen
Houd rekening met de volgende punten wanneer toegang tot Azure Database for PostgreSQL - Flexible Server zich niet gedraagt zoals verwacht:
Wijzigingen in de acceptatielijst zijn nog niet doorgevoerd. Het kan vijf minuten duren voordat wijzigingen in de firewallconfiguratie van de flexibele Azure Database for PostgreSQL-server van kracht worden.
Verificatie is mislukt. Als een gebruiker geen machtigingen heeft voor de flexibele Azure Database for PostgreSQL-server of als het wachtwoord onjuist is, wordt de verbinding met de flexibele Azure Database for PostgreSQL-server geweigerd. Het maken van een firewallinstelling biedt clients alleen de mogelijkheid om verbinding te maken met uw server. Elke client moet nog steeds de benodigde beveiligingsreferenties opgeven.
Dynamisch CLIENT-IP-adres voorkomt toegang. Als u een internetverbinding hebt met dynamische IP-adressering en u problemen ondervindt bij het passeren van de firewall, kunt u een van de volgende oplossingen proberen:
- Vraag uw internetprovider (ISP) voor het IP-adresbereik dat is toegewezen aan uw clientcomputers die toegang hebben tot de flexibele Server van Azure Database for PostgreSQL. Voeg vervolgens het IP-adresbereik toe als een firewallregel.
- Haal in plaats daarvan statische IP-adressering op voor uw clientcomputers. Voeg vervolgens het statische IP-adres toe als firewallregel.
Firewallregel is niet beschikbaar voor IPv6-indeling. De firewallregels moeten de IPv4-indeling hebben. Als u firewallregels opgeeft in IPv6-indeling, krijgt u een validatiefout.
Hostnaam
Ongeacht de netwerkoptie die u kiest, raden we u aan altijd een FQDN als hostnaam te gebruiken wanneer u verbinding maakt met uw flexibele Azure Database for PostgreSQL-server. Het IP-adres van de server blijft niet gegarandeerd statisch. Als u de FQDN gebruikt, kunt u voorkomen dat u wijzigingen aanbrengt in uw verbindingsreeks.
Een voorbeeld dat een FQDN als hostnaam gebruikt, is hostname = servername.postgres.database.azure.com. Vermijd waar mogelijk het gebruik hostname = 10.0.0.4 van (een privéadres) of hostname = 40.2.45.67 (een openbaar adres).