Privé-eindpuntverbindingen toevoegen

Azure Database for PostgreSQL - Flexible Server is een Azure Private Link-service. Dit betekent dat u privé-eindpunten kunt maken, zodat uw clienttoepassingen privé en veilig verbinding kunnen maken met uw flexibele Azure Database for PostgreSQL-server.

Een privé-eindpunt voor uw flexibele Azure Database for PostgreSQL-server is een netwerkinterface die u kunt injecteren in een subnet van een virtueel Azure-netwerk. Elke host of service die netwerkverkeer naar dat subnet kan routeren, kan communiceren met uw flexibele server, zodat het netwerkverkeer niet via internet hoeft te gaan. Al het verkeer wordt privé verzonden met behulp van Microsoft backbone.

Zie voor meer informatie over Azure Private Link en Azure Private Endpoint veelgestelde vragen over Azure Private Link.

Portal

Azure Portal gebruiken:

1. Selecteer uw flexibele Azure Database for PostgreSQL-server.

2. Selecteer Overzicht in het resourcemenu.

   

3. De status van de server moet beschikbaar zijn, zodat de menuoptie Netwerken moet worden ingeschakeld.

   

4. Als de status van de server niet beschikbaar is, is de optie Netwerken uitgeschakeld.

   

Notitie

Elke poging om de netwerkinstellingen van een server te configureren waarvan de status niet beschikbaar is, mislukt met een fout.

5. Selecteer Netwerken in het resourcemenu.

   

6. Als u over de vereiste machtigingen beschikt om een privé-eindpunt te implementeren, kunt u dit maken door privé-eindpunt toevoegen te selecteren.

   

Notitie

Zie Azure RBAC-machtigingen voor Azure Private Link voor meer informatie over de benodigde machtigingen voor het implementeren van een privé-eindpunt.

7. Vul op de pagina Basisinformatie alle vereiste gegevens in. Selecteer vervolgens Volgende: Resource.

   

8. Gebruik de volgende tabel om inzicht te krijgen in de betekenis van de verschillende velden die beschikbaar zijn op de pagina Basisbeginselen en als richtlijnen voor het vullen van de pagina:

   Instelling	Voorgestelde waarde	Beschrijving
   Abonnement	Selecteer de naam van het abonnement waarin u de resource wilt maken. Hiermee wordt automatisch het abonnement geselecteerd waarin uw server is geïmplementeerd.	Een abonnement is een overeenkomst met Microsoft voor het gebruik van een of meer Microsoft-cloudplatforms of -services, waarvoor kosten worden berekend op basis van een licentiekosten per gebruiker of op resourceverbruik in de cloud. Als u meerdere abonnementen hebt, kiest u het abonnement waarin u wilt worden gefactureerd voor de resource.
   Resourcegroep	De resourcegroep in het geselecteerde abonnement waarin u het privé-eindpunt wilt maken. Dit kan een bestaande resourcegroep zijn of u kunt nieuwe maken selecteren en een naam opgeven in dat abonnement dat uniek is onder de bestaande resourcegroepnamen. Hiermee wordt automatisch de resourcegroep geselecteerd waarin uw server is geïmplementeerd.	Een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren. U bepaalt hoe resources worden toegewezen aan resourcegroepen op basis van wat voor uw organisatie het meest zinvol is. Over het algemeen voegt u resources toe die dezelfde levenscyclus delen met dezelfde resourcegroep, zodat u ze eenvoudig als groep kunt implementeren, bijwerken en verwijderen.
   Naam	De naam die u wilt toewijzen aan het privé-eindpunt.	Een unieke naam waarmee het privé-eindpunt wordt geïdentificeerd waarmee u verbinding kunt maken met uw flexibele Azure Database for PostgreSQL-server.
   Netwerkinterfacenaam	De naam die u wilt toewijzen aan de netwerkinterface die is gekoppeld aan het privé-eindpunt.	Een unieke naam die de netwerkinterface identificeert die is gekoppeld aan het privé-eindpunt.
   Regio	De naam van een van de regio's waarin u privé-eindpunten kunt maken voor Azure Database for PostgreSQL - Flexible Server.	De regio die u selecteert, moet overeenkomen met die van het virtuele netwerk waarin u het privé-eindpunt wilt implementeren.

9. Vul op de pagina Resource alle vereiste gegevens in. Selecteer vervolgens Volgende: Virtueel netwerk.

   

10. Gebruik de volgende tabel om inzicht te krijgen in de betekenis van de verschillende velden die beschikbaar zijn op de pagina Resource en als richtlijnen voor het vullen van de pagina:

    Instelling	Voorgestelde waarde	Beschrijving
    Resourcetype	Automatisch ingesteld op Microsoft.DBforPostgreSQL/flexibleServers	Deze waarde wordt automatisch voor u gekozen en komt overeen met het type resource dat een flexibele Azure Database for PostgreSQL-server is, in de ogen van Azure Private Link.
    Resource	Automatisch ingesteld op de naam van de flexibele Azure Database for PostgreSQL-server waarvoor u het privé-eindpunt maakt.	De naam van de resource waarmee het privé-eindpunt verbinding maakt.
    Doelsubresource	Automatisch ingesteld op postgresqlServer.	Het type subresource voor de geselecteerde resource, waartoe uw privé-eindpunt toegang heeft.

11. Vul op de pagina Virtueel netwerk alle vereiste gegevens in. Selecteer vervolgens Volgende: DNS.

    

12. Gebruik de volgende tabel om inzicht te krijgen in de betekenis van de verschillende velden die beschikbaar zijn op de pagina Virtual Network en als richtlijnen voor het vullen van de pagina:

    Instelling	Voorgestelde waarde	Beschrijving
    Virtueel netwerk	Automatisch ingesteld op het eerste virtuele netwerk (gesorteerd in alfabetische volgorde) dat beschikbaar is in het abonnement en de geselecteerde regio.	Alleen virtuele netwerken waarvoor u machtigingen hebt, worden weergegeven in het momenteel geselecteerde abonnement en de geselecteerde regio.
    Subnet	Automatisch ingesteld op de naam van de flexibele Azure Database for PostgreSQL-server waarvoor u het privé-eindpunt maakt.	Alleen subnetten in het geselecteerde virtuele netwerk worden vermeld.
    Netwerkbeleid voor privé-eindpunten	Standaard zijn netwerkbeleidsregels uitgeschakeld voor een subnet in een virtueel netwerk. U kunt netwerkbeleid alleen inschakelen voor netwerkbeveiligingsgroepen, alleen voor door de gebruiker gedefinieerde routes of voor beide.	Als u netwerkbeleid wilt gebruiken, zoals door de gebruiker gedefinieerde routes en ondersteuning voor netwerkbeveiligingsgroepen, moet ondersteuning voor netwerkbeleid zijn ingeschakeld voor het subnet. Deze instelling is alleen van toepassing op privé-eindpunten in het subnet en is van invloed op alle privé-eindpunten in het subnet. Voor andere resources in het subnet wordt de toegang beheerd op basis van beveiligingsregels in de netwerkbeveiligingsgroep. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.
    Privé-IP-configuratie	Automatisch ingesteld op dynamisch toewijzen van een van de beschikbare IP-adressen in het bereik dat is toegewezen aan het geselecteerde subnet.	Dit IP-adres is het ip-adres dat is toegewezen aan de netwerkinterface die is gekoppeld aan het privé-eindpunt. Het kan dynamisch worden toegewezen vanuit het bereik dat is toegewezen aan het geselecteerde subnet of u kunt bepalen welk specifiek adres u eraan wilt toewijzen. Nadat het privé-eindpunt is gemaakt, kunt u het IP-adres niet wijzigen, ongeacht welke van de twee toewijzingsmodi u selecteert tijdens het maken.
    Toepassingsbeveiligingsgroep	Er is standaard geen toepassingsbeveiligingsgroep toegewezen. U kunt een bestaande kiezen of u kunt er een maken en deze toewijzen.	Met behulp van toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijk verlengstuk van de structuur van een toepassing, waarbij u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van die groepen. U kunt het beveiligingsbeleid op grote schaal opnieuw gebruiken zonder handmatig onderhoud van expliciete IP-adressen. Het platform verwerkt de complexiteit van expliciete IP-adressen en meerdere regelsets, zodat u zich kunt richten op uw bedrijfslogica. Zie Toepassingsbeveiligingsgroepen voor meer informatie.

13. Vul op de PAGINA DNS alle vereiste gegevens in. Selecteer vervolgens Volgende: Tags.

    

14. Gebruik de volgende tabel om inzicht te krijgen in de betekenis van de verschillende velden die beschikbaar zijn op de DNS-pagina en als richtlijnen voor het vullen van de pagina:

    Instelling	Voorgestelde waarde	Beschrijving
    Integreren met privé-DNS-zone	Standaard ingeschakeld.	Selecteer Ja als u wilt dat uw privé-eindpunt wordt geïntegreerd met een privé-DNS-zone van Azure of Nee als u uw eigen DNS-servers wilt gebruiken, of als u de naam van het eindpunt wilt omzetten met behulp van hostbestanden op de computers waaruit u verbinding wilt maken via het privé-eindpunt. Zie DNS-configuratie voor privé-eindpunten voor meer informatie. Als u privé-DNS-zoneintegratie configureert, wordt de privé-DNS-zone automatisch gekoppeld aan het virtuele netwerk waarin u het privé-eindpunt maakt.
    Configuratienaam	Automatisch ingesteld op privatelink-postgres-database-azure-com.	De naam die is toegewezen aan de DNS-configuratie die is gekoppeld aan de privé-DNS-zone.
    Abonnement	Selecteer de naam van het abonnement waarin u de privé-DNS-zone wilt maken. Hiermee wordt automatisch het abonnement geselecteerd waarin uw server is geïmplementeerd.	Een abonnement is een overeenkomst met Microsoft voor het gebruik van een of meer Microsoft-cloudplatforms of -services, waarvoor kosten worden berekend op basis van een licentiekosten per gebruiker of op resourceverbruik in de cloud. Als u meerdere abonnementen hebt, kiest u het abonnement waarin u wilt worden gefactureerd voor de resource.
    Resourcegroep	De resourcegroep in het geselecteerde abonnement waarin u de privé-DNS-zone wilt maken. Dit moet een bestaande resourcegroep zijn. Hiermee wordt automatisch de resourcegroep geselecteerd waarin uw server is geïmplementeerd.	Een resourcegroep is een container met gerelateerde resources voor een Azure-oplossing. De resourcegroep kan alle resources voor de oplossing bevatten of enkel de resources die u als groep wilt beheren. U bepaalt hoe resources worden toegewezen aan resourcegroepen op basis van wat voor uw organisatie het meest zinvol is. Over het algemeen voegt u resources toe die dezelfde levenscyclus delen met dezelfde resourcegroep, zodat u ze eenvoudig als groep kunt implementeren, bijwerken en verwijderen.
    Privé-DNS zone	Automatisch ingesteld op privatelink.postgres.database.azure.com.	Deze naam is de naam die is toegewezen aan de privé-DNS-zoneresource.

15. Vul op de pagina Tags alle vereiste gegevens in. Selecteer vervolgens Volgende: Beoordelen en maken.

    

16. Gebruik de volgende tabel om inzicht te krijgen in de betekenis van de verschillende velden die beschikbaar zijn op de pagina Tags en als richtlijnen voor het vullen van de pagina:

    Instelling	Voorgestelde waarde	Omschrijving
    Naam	Leeg laten.	De naam van de tag die u wilt toewijzen aan uw privé-eindpunt en privé-DNS-zone (als u de integratie van de privé-DNS-zone op de DNS-pagina hebt geselecteerd).
    Value	Leeg laten.	Waarde die u wilt toewijzen aan de tag met de opgegeven naam en die u wilt toewijzen aan uw privé-eindpunt en privé-DNS-zone (als u de integratie van de privé-DNS-zone op de DNS-pagina hebt geselecteerd).
    Resource	Laat standaard staan.	U kunt selecteren aan welke resources u de opgegeven tag wilt toewijzen. Dit kan het privé-eindpunt, de privé-DNS-zone (als u de integratie van de privé-DNS-zone op de DNS-pagina ) of beide hebt geselecteerd.

17. Controleer op de pagina Controleren en maken of alles is geconfigureerd zoals u wilt. Ten slotte selecteert u Maken.

    

18. Er wordt een implementatie gestart en u ziet een melding wanneer de implementatie is voltooid.

    

CLI

Als u over de vereiste machtigingen beschikt om een privé-eindpunt te implementeren en de privé-eindpuntverbinding met uw server goed te keuren, kunt u de privé-eindpuntverbinding maken via de opdracht az network private-endpoint create .

Als u het privé-eindpunt wilt maken en aan de netwerkinterface wilt toewijzen, wordt dynamisch een IP-adres toegewezen vanuit het bereik dat is toegewezen aan het geselecteerde subnet:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Om het privé-eindpunt te maken en toe te wijzen aan de netwerkinterface, wordt een IP-adres statisch toegewezen vanuit het bereik dat is toegewezen aan het geselecteerde subnet:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Als u de vereiste machtigingen hebt, wordt de privé-eindpuntverbinding automatisch goedgekeurd. Als dat het geval is, wordt de uitvoer van de volgende opdracht weergegeven status als Approved, en description als Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Er az network private-endpoint create wordt een privatelink.postgres.database.azure.com privé-DNS-zone gemaakt als deze niet bestaat. En de privé-DNS-zone wordt gekoppeld aan het virtuele netwerk waarin het privé-eindpunt wordt gemaakt. Er wordt echter geen DNS-zonegroep gemaakt in het privé-eindpunt als u wilt, kunt u uw privé-eindpunt integreren met een privé-DNS-zone. Dit doet u als volgt:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Als u probeert het privé-eindpunt te maken met een statisch toegewezen privé-IP-adres en het opgegeven adres al wordt gebruikt door een andere netwerkinterface, krijgt u de volgende fout:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Als u probeert het privé-eindpunt en het virtuele netwerk te maken waarnaar wordt verwezen via de --subscription, --resource-group en --vnet-name parameters niet bestaan. Of als het virtuele netwerk bestaat, maar de regio waarin het is geïmplementeerd, niet overeenkomt met de regio waarin u het privé-eindpunt probeert te implementeren, krijgt u de volgende fout:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Als u probeert het privé-eindpunt te maken en er al een bestaat met dezelfde naam, maar u een andere waarde voor --connection-name of voor --vnet-nameopgeeft, krijgt u de volgende fout:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Als u probeert het privé-eindpunt te maken en er al een bestaat met dezelfde naam, maar u een andere waarde opgeeft --subnet, krijgt u de volgende fout:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Als u probeert het privé-eindpunt te maken en er al een bestaat met dezelfde naam, maar u een andere waarde opgeeft --location, krijgt u de volgende fout:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Gerelateerde inhoud

• Netwerken.
• Openbare toegang inschakelen.
• Openbare toegang uitschakelen.
• Voeg firewallregels toe.
• Firewallregels verwijderen.
• Privé-eindpuntverbindingen verwijderen.
• Privé-eindpuntverbindingen goedkeuren.
• Privé-eindpuntverbindingen weigeren.