Dodawanie połączeń prywatnych punktów końcowych

Azure Database for PostgreSQL — serwer elastyczny to usługa Azure Private Link. Oznacza to, że można tworzyć prywatne punkty końcowe, aby aplikacje klienckie mogły łączyć się prywatnie i bezpiecznie z elastycznym serwerem usługi Azure Database for PostgreSQL.

Prywatny punkt końcowy na serwerze elastycznym usługi Azure Database for PostgreSQL to interfejs sieciowy, który można wstrzyknąć w podsieci sieci wirtualnej platformy Azure. Każdy host lub usługa, która może kierować ruch sieciowy do tej podsieci, może komunikować się z serwerem elastycznym, aby ruch sieciowy nie musiał przechodzić przez Internet. Cały ruch jest wysyłany prywatnie przy użyciu sieci szkieletowej firmy Microsoft.

Aby uzyskać więcej informacji na temat usługi Azure Private Link i prywatnego punktu końcowego platformy Azure, zobacz Azure Private Link — często zadawane pytania.

Portal

Korzystanie z witryny Azure Portal:

1. Wybierz serwer elastyczny usługi Azure Database for PostgreSQL.

2. W menu zasobów wybierz pozycję Przegląd.

   

3. Stan serwera musi być dostępny, aby opcja menu Sieć została włączona.

   

4. Jeśli stan serwera jest niedostępny, opcja Sieć jest wyłączona.

   

Uwaga

Każda próba skonfigurowania ustawień sieciowych serwera, którego stan jest inny niż dostępny, zakończy się niepowodzeniem z powodu błędu.

5. W menu zasobów wybierz pozycję Sieć.

   

6. Jeśli masz wymagane uprawnienia do wdrożenia prywatnego punktu końcowego, możesz go utworzyć, wybierając pozycję Dodaj prywatny punkt końcowy.

   

Uwaga

Aby dowiedzieć się więcej o niezbędnych uprawnieniach do wdrażania prywatnego punktu końcowego, zobacz Uprawnienia RBAC platformy Azure dla usługi Azure Private Link.

7. Na stronie Podstawy wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Zasób.

   

8. Skorzystaj z poniższej tabeli, aby zrozumieć znaczenie różnych pól dostępnych na stronie Podstawy i jako wskazówki dotyczące wypełnienia strony:

   Ustawienie	Sugerowana wartość	opis
   Subskrypcja	Wybierz nazwę subskrypcji , w której chcesz utworzyć zasób. Automatycznie wybiera subskrypcję, w której wdrożono serwer.	Subskrypcja to umowa z firmą Microsoft umożliwiająca korzystanie z co najmniej jednej platformy lub usług w chmurze firmy Microsoft, za które naliczane są opłaty w oparciu o opłatę licencyjną za użytkownika lub użycie zasobów w chmurze. Jeśli masz wiele subskrypcji, wybierz subskrypcję, w której chcesz naliczać opłaty za zasób.
   Grupa zasobów:	Grupa zasobów w wybranej subskrypcji, w której chcesz utworzyć prywatny punkt końcowy. Może to być istniejąca grupa zasobów lub możesz wybrać pozycję Utwórz nową i podać nazwę w tej subskrypcji, która jest unikatowa wśród istniejących nazw grup zasobów. Automatycznie wybiera grupę zasobów, w której wdrożono serwer.	Grupa zasobów to kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji. Ogólnie rzecz biorąc, dodaj zasoby, które współużytkują ten sam cykl życia do tej samej grupy zasobów, dzięki czemu można je łatwo wdrażać, aktualizować i usuwać jako grupę.
   Nazwa/nazwisko	Nazwa, którą chcesz przypisać do prywatnego punktu końcowego.	Unikatowa nazwa identyfikująca prywatny punkt końcowy, za pomocą którego można nawiązać połączenie z elastycznym serwerem usługi Azure Database for PostgreSQL.
   Nazwa interfejsu sieciowego	Nazwa, którą chcesz przypisać do interfejsu sieciowego skojarzonego z prywatnym punktem końcowym.	Unikatowa nazwa identyfikująca interfejs sieciowy skojarzony z prywatnym punktem końcowym.
   Region	Nazwa jednego z regionów, w których można tworzyć prywatne punkty końcowe dla usługi Azure Database for PostgreSQL — serwer elastyczny.	Wybrany region musi być zgodny z siecią wirtualną, w której planujesz wdrożyć prywatny punkt końcowy.

9. Na stronie Zasób wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Sieć wirtualna.

   

10. Skorzystaj z poniższej tabeli, aby zrozumieć znaczenie różnych pól dostępnych na stronie Zasób i jako wskazówki dotyczące wypełnienia strony:

    Ustawienie	Sugerowana wartość	Opis
    Typ zasobu	Automatycznie ustaw wartość na Microsoft.DBforPostgreSQL/flexibleServers	Ta wartość jest automatycznie wybierana i odpowiada typowi zasobu, który jest elastycznym serwerem usługi Azure Database for PostgreSQL, do oczu usługi Azure Private Link.
    Zasób	Automatycznie ustaw nazwę serwera elastycznego usługi Azure Database for PostgreSQL, dla którego tworzysz prywatny punkt końcowy.	Nazwa zasobu, z którym łączy się prywatny punkt końcowy.
    Docelowy zasób podrzędny	Automatycznie ustaw wartość postgresqlServer.	Typ podźródła wybranego zasobu, do którego może uzyskać dostęp prywatny punkt końcowy.

11. Na stronie Sieć wirtualna wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: DNS.

    

12. W poniższej tabeli przedstawiono znaczenie różnych pól dostępnych na stronie Sieć wirtualna oraz wskazówki dotyczące wypełniania strony:

    Ustawienie	Sugerowana wartość	opis
    Sieć wirtualna	Automatycznie ustaw pierwszą (posortowaną w kolejności alfabetycznej) sieć wirtualną dostępną w wybranej subskrypcji i regionie.	Wyświetlane są tylko sieci wirtualne, do których masz uprawnienia w aktualnie wybranej subskrypcji i regionie.
    Podsieć	Automatycznie ustaw nazwę serwera elastycznego usługi Azure Database for PostgreSQL, dla którego tworzysz prywatny punkt końcowy.	Na liście są wyświetlane tylko podsieci w aktualnie wybranej sieci wirtualnej.
    Zasady sieci dla prywatnych punktów końcowych	Domyślnie zasady sieci są wyłączone dla podsieci w sieci wirtualnej. Można włączyć zasady sieciowe tylko dla sieciowych grup zabezpieczeń, tylko dla tras zdefiniowanych przez użytkownika lub dla obu tych grup.	Aby można było używać zasad sieciowych, takich jak trasy zdefiniowane przez użytkownika i obsługa sieciowej grupy zabezpieczeń, należy włączyć obsługę zasad sieciowych dla podsieci. To ustawienie dotyczy tylko prywatnych punktów końcowych w podsieci i wpływa na wszystkie prywatne punkty końcowe w podsieci. W przypadku innych zasobów w podsieci dostęp jest kontrolowany na podstawie reguł zabezpieczeń w sieciowej grupie zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych.
    Konfiguracja prywatnego adresu IP	Automatycznie ustaw opcję dynamicznego przydzielenia jednego z dostępnych adresów IP w zakresie przypisanym do wybranej podsieci.	Ten adres IP jest przypisany do interfejsu sieciowego skojarzonego z prywatnym punktem końcowym. Można ją dynamicznie przydzielić z zakresu przypisanego do wybranej podsieci lub wybrać konkretny adres, który chcesz do niego przypisać. Po utworzeniu prywatnego punktu końcowego nie można zmienić jego adresu IP, niezależnie od tego, który z dwóch trybów alokacji wybieranych podczas tworzenia.
    Grupa zabezpieczeń aplikacji	Domyślnie żadna grupa zabezpieczeń aplikacji nie jest przypisana. Możesz wybrać istniejący lub utworzyć go i przypisać.	Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co pozwala na grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup. Możesz ponownie używać zasad zabezpieczeń na dużą skalę bez ręcznej obsługi jawnych adresów IP. Platforma obsługuje złożoność jawnych adresów IP i wiele zestawów reguł, co pozwala skupić się na logice biznesowej. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń aplikacji.

13. Na stronie DNS wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Tagi.

    

14. W poniższej tabeli przedstawiono znaczenie różnych pól dostępnych na stronie DNS oraz wskazówki dotyczące wypełniania strony:

    Ustawienie	Sugerowana wartość	opis
    Integracja z prywatną strefą DNS	Włączone domyślnie.	Wybierz pozycję Tak , jeśli chcesz zintegrować prywatny punkt końcowy z prywatną strefą DNS platformy Azure lub Nie , jeśli chcesz użyć własnych serwerów DNS, lub jeśli chcesz rozpoznać nazwę punktu końcowego przy użyciu plików hosta na maszynach, z których chcesz nawiązać połączenie za pośrednictwem prywatnego punktu końcowego. Aby uzyskać więcej informacji, zobacz Konfiguracja DNS prywatnego punktu końcowego. W przypadku skonfigurowania integracji prywatnej strefy DNS prywatna strefa DNS jest automatycznie połączona z siecią wirtualną, w której tworzysz prywatny punkt końcowy.
    Nazwa konfiguracji	Automatycznie ustaw dla Ciebie wartość privatelink-postgres-database-azure-com.	Nazwa przypisana do konfiguracji DNS, która jest skojarzona z prywatną strefą DNS.
    Subskrypcja	Wybierz nazwę subskrypcji , w której chcesz utworzyć prywatną strefę DNS. Automatycznie wybiera subskrypcję, w której wdrożono serwer.	Subskrypcja to umowa z firmą Microsoft umożliwiająca korzystanie z co najmniej jednej platformy lub usług w chmurze firmy Microsoft, za które naliczane są opłaty w oparciu o opłatę licencyjną za użytkownika lub użycie zasobów w chmurze. Jeśli masz wiele subskrypcji, wybierz subskrypcję, w której chcesz naliczać opłaty za zasób.
    Grupa zasobów:	Grupa zasobów w wybranej subskrypcji, w której chcesz utworzyć prywatną strefę DNS. Musi to być istniejąca grupa zasobów. Automatycznie wybiera grupę zasobów, w której wdrożono serwer.	Grupa zasobów to kontener, który przechowuje powiązane zasoby dla rozwiązania platformy Azure. Grupa zasobów może zawierać wszystkie zasoby dla rozwiązania lub tylko te zasoby, które mają być zarządzane jako grupa. Użytkownik decyduje o sposobie przydziału zasobów do grup zasobów pod kątem tego, co jest najbardziej odpowiednie dla danej organizacji. Ogólnie rzecz biorąc, dodaj zasoby, które współużytkują ten sam cykl życia do tej samej grupy zasobów, dzięki czemu można je łatwo wdrażać, aktualizować i usuwać jako grupę.
    strefa Prywatna strefa DNS	Automatycznie ustaw dla Ciebie wartość privatelink.postgres.database.azure.com.	Ta nazwa jest przypisana do zasobu prywatnej strefy DNS.

15. Na stronie Tagi wypełnij wszystkie wymagane szczegóły. Następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

    

16. Skorzystaj z poniższej tabeli, aby zrozumieć znaczenie różnych pól dostępnych na stronie Tagi i jako wskazówki dotyczące wypełnienia strony:

    Ustawienie	Sugerowana wartość	opis
    Nazwa/nazwisko	Pozostaw puste.	Nazwa tagu, który chcesz przypisać do prywatnego punktu końcowego i prywatnej strefy DNS (jeśli wybrano integrację prywatnej strefy DNS na stronie DNS ).
    Wartość	Pozostaw puste.	Wartość, którą chcesz przypisać do tagu o podanej nazwie i którą chcesz przypisać do prywatnego punktu końcowego i prywatnej strefy DNS (jeśli wybrano integrację prywatnej strefy DNS na stronie DNS ).
    Zasób	Pozostaw wartość domyślną.	Możesz wybrać zasoby, do których chcesz przypisać dany tag. Może to być prywatny punkt końcowy, prywatna strefa DNS (jeśli wybrano integrację prywatnej strefy DNS na stronie DNS ) lub obie.

17. Na stronie Przeglądanie i tworzenie upewnij się, że wszystko jest skonfigurowane tak, jak chcesz. Następnie wybierz przycisk Utwórz.

    

18. Wdrożenie jest inicjowane i jest wyświetlane powiadomienie po zakończeniu wdrażania.

    

Interfejs wiersza polecenia

Jeśli masz wymagane uprawnienia do wdrożenia prywatnego punktu końcowego i zatwierdzenia połączenia prywatnego punktu końcowego z serwerem, możesz utworzyć połączenie prywatnego punktu końcowego za pomocą polecenia az network private-endpoint create .

Aby utworzyć prywatny punkt końcowy i przypisać do interfejsu sieciowego adres IP dynamicznie przydzielony z zakresu przypisanego do wybranej podsieci:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Aby utworzyć prywatny punkt końcowy i przypisać do interfejsu sieciowego statycznie przydzielony adres IP z zakresu przypisanego do wybranej podsieci:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Jeśli masz wymagane uprawnienia, połączenie prywatnego punktu końcowego powinno zostać automatycznie zatwierdzone. Jeśli tak jest, dane wyjściowe następującego polecenia będą wyświetlane status jako Approved, i description jako Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Obiekt az network private-endpoint create tworzy prywatną strefę privatelink.postgres.database.azure.com DNS, jeśli nie istnieje. Łączy prywatną strefę DNS z siecią wirtualną, w której jest tworzony prywatny punkt końcowy. Jednak nie tworzy grupy strefy DNS w prywatnym punkcie końcowym Jeśli chcesz, możesz zintegrować prywatny punkt końcowy z prywatną strefą DNS. W tym celu:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Jeśli spróbujesz utworzyć prywatny punkt końcowy ze statycznie przydzielonym prywatnym adresem IP, a określony adres jest już używany przez inny interfejs sieciowy, zostanie wyświetlony następujący błąd:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Jeśli spróbujesz utworzyć prywatny punkt końcowy, a sieć wirtualna, do której odwołujesz się za pośrednictwem parametrów --subscription, --resource-group i --vnet-name nie istnieje. Jeśli sieć wirtualna istnieje, ale region, w którym jest wdrożony, nie jest zgodny z regionem, w którym próbujesz wdrożyć prywatny punkt końcowy, zostanie wyświetlony następujący błąd:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Jeśli spróbujesz utworzyć prywatny punkt końcowy i jeden już istnieje o tej samej nazwie, ale określisz inną wartość dla --connection-name elementu lub dla --vnet-nameelementu , zostanie wyświetlony następujący błąd:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Jeśli spróbujesz utworzyć prywatny punkt końcowy i jeden już istnieje o tej samej nazwie, ale określisz inną wartość dla --subnetparametru , zostanie wyświetlony następujący błąd:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Jeśli spróbujesz utworzyć prywatny punkt końcowy i jeden już istnieje o tej samej nazwie, ale określisz inną wartość dla --locationparametru , zostanie wyświetlony następujący błąd:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Powiązana zawartość

• Sieć.
• Włącz dostęp publiczny.
• Wyłącz dostęp publiczny.
• Dodaj reguły zapory.
• Usuń reguły zapory.
• Usuń połączenia prywatnego punktu końcowego.
• Zatwierdzanie połączeń prywatnych punktów końcowych.
• Odrzuć połączenia z prywatnym punktem końcowym.