Adicionar conexões de ponto de extremidade privado

O Banco de Dados do Azure para PostgreSQL - Servidor Flexível é um serviço de Link Privado do Azure. Isso significa que você pode criar pontos de extremidade privados para que seus aplicativos cliente possam se conectar de forma privada e segura ao seu banco de dados do Azure para servidor flexível PostgreSQL.

Um ponto de extremidade privado para seu servidor flexível do Banco de Dados do Azure para PostgreSQL é uma interface de rede que você pode injetar em uma sub-rede de uma rede virtual do Azure. Qualquer host ou serviço que possa rotear o tráfego de rede para essa sub-rede, é capaz de se comunicar com seu servidor flexível para que o tráfego de rede não precise atravessar a Internet. Todo o tráfego é enviado de forma privada usando o backbone da Microsoft.

Para obter mais informações sobre o Azure Private Link e o Azure Private Endpoint, consulte Perguntas frequentes sobre o Azure Private Link.

Portal

Usando o portal do Azure:

1. Selecione seu Banco de Dados do Azure para servidor flexível PostgreSQL.

2. No menu de recursos, selecione Visão geral.

   

3. O status do servidor deve estar Disponível, para que a opção do menu Rede seja habilitada.

   

4. Se o status do servidor não estiver Disponível, a opção Rede será desabilitada.

   

Nota

Qualquer tentativa de definir as configurações de rede de um servidor cujo status não esteja disponível falharia com um erro.

5. No menu de recursos, selecione Rede.

   

6. Se você tiver as permissões necessárias para implantar um ponto de extremidade privado, poderá criá-lo selecionando Adicionar ponto de extremidade privado.

   

Nota

Para saber mais sobre as permissões necessárias para implantar um ponto de extremidade privado, consulte Permissões do RBAC do Azure para o Azure Private Link.

7. Na página Noções básicas, preencha todos os detalhes necessários. Em seguida, selecione Avançar: Recurso.

   

8. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Noções básicas e como orientação para preencher a página:

   Definição	Valor sugerido	Description
   Subscrição	Selecione o nome da assinatura na qual você deseja criar o recurso. Ele seleciona automaticamente a assinatura na qual o servidor está implantado.	Uma subscrição é um contrato com a Microsoft para utilizar uma ou mais plataformas ou serviços na nuvem da Microsoft, para os quais são cobrados encargos com base numa taxa de licença por utilizador ou no consumo de recursos baseado na nuvem. Se tiver várias subscrições, escolha a subscrição na qual pretende ser cobrado pelo recurso.
   Grupo de recursos	O grupo de recursos na assinatura selecionada, no qual você deseja criar o ponto de extremidade privado. Pode ser um grupo de recursos existente ou você pode selecionar Criar novo e fornecer um nome nessa assinatura que seja exclusivo entre os nomes de grupo de recursos existentes. Ele seleciona automaticamente o grupo de recursos no qual o servidor está implantado.	Um grupo de recursos é um contentor que mantém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que pretende gerir como um grupo. Decida como pretende atribuir recursos a grupos de recursos com base no que é mais adequado para a sua organização. Geralmente, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa implantá-los, atualizá-los e excluí-los facilmente como um grupo.
   Nome	O nome que você deseja atribuir ao ponto de extremidade privado.	Um nome exclusivo que identifica o ponto de extremidade privado através do qual você pode se conectar ao seu banco de dados do Azure para servidor flexível PostgreSQL.
   Nome da interface de rede	O nome que você deseja atribuir à interface de rede associada ao ponto de extremidade privado.	Um nome exclusivo que identifica a interface de rede associada ao ponto de extremidade privado.
   Região	O nome de uma das regiões nas quais você pode criar pontos de extremidade privados para o Banco de Dados do Azure para PostgreSQL - Servidor Flexível.	A região selecionada deve corresponder à da rede virtual na qual você planeja implantar o ponto de extremidade privado.

9. Na página Recurso, preencha todos os detalhes necessários. Em seguida, selecione Next: Virtual Network.

   

10. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Recurso e como orientação para preencher a página:

    Definição	Valor sugerido	Descrição
    Tipo de recurso	Definido automaticamente como Microsoft.DBforPostgreSQL/flexibleServers	Esse valor é escolhido automaticamente para você e corresponde ao tipo de recurso que um servidor flexível do Banco de Dados do Azure para PostgreSQL é, aos olhos do Azure Private Link.
    Recurso	Defina automaticamente como o nome do Banco de Dados do Azure para o servidor flexível PostgreSQL para o qual você está criando o ponto de extremidade privado.	O nome do recurso ao qual o ponto de extremidade privado se conecta.
    Subrecurso de destino	Definido automaticamente como postgresqlServer.	O tipo de subrecurso para o recurso selecionado, que seu ponto de extremidade privado pode acessar.

11. Na página Rede Virtual, preencha todos os detalhes necessários. Em seguida, selecione Next: DNS.

    

12. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Rede Virtual e como orientação para preencher a página:

    Definição	Valor sugerido	Description
    Rede virtual	Defina automaticamente para a primeira rede virtual (ordenada por ordem alfabética) disponível na subscrição e região selecionadas.	Somente as redes virtuais nas quais você tem permissões, na assinatura e região selecionadas no momento, são listadas.
    Sub-rede	Defina automaticamente como o nome do Banco de Dados do Azure para o servidor flexível PostgreSQL para o qual você está criando o ponto de extremidade privado.	Apenas as sub-redes na rede virtual atualmente selecionada são listadas.
    Política de rede para terminais privados	Por padrão, as diretivas de rede são desabilitadas para uma sub-rede em uma rede virtual. Você pode habilitar as diretivas de rede somente para grupos de segurança de rede, somente para rotas definidas pelo usuário ou para ambos.	Para usar diretivas de rede, como rotas definidas pelo usuário e suporte a grupos de segurança de rede, o suporte a diretivas de rede deve ser habilitado para a sub-rede. Essa configuração só se aplica a pontos de extremidade privados na sub-rede e afeta todos os pontos de extremidade privados na sub-rede. Para outros recursos na sub-rede, o acesso é controlado com base em regras de segurança no grupo de segurança de rede. Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados.
    Configuração de IP privado	Defina automaticamente para alocar dinamicamente um dos endereços IP disponíveis no intervalo atribuído à sub-rede selecionada.	Este endereço IP é o atribuído à interface de rede associada ao ponto de extremidade privado. Ele pode ser alocado dinamicamente a partir do intervalo atribuído à sub-rede selecionada ou você pode decidir qual endereço específico deseja atribuir a ele. Depois que o ponto de extremidade privado é criado, você não pode alterar seu endereço IP, independentemente de qual dos dois modos de alocação selecionado durante a criação.
    Grupo de segurança de aplicações	Nenhum grupo de segurança de aplicativo é atribuído por padrão. Você pode escolher um existente ou pode criar um e atribuí-lo.	Os grupos de segurança de aplicações permitem-lhe configurar a segurança de rede como uma extensão natural da estrutura de uma aplicação, possibilitando o agrupamento de máquinas virtuais e a definição de políticas de segurança de rede com base nesses grupos. Pode reutilizar a política de segurança em escala sem a manutenção manual de endereços IP explícitos. A plataforma lida com a complexidade dos endereços IP explícitos e dos múltiplos conjuntos de regras, permitindo-lhe focar-se na lógica de negócio. Para obter mais informações, consulte Grupos de segurança de aplicativos.

13. Na página DNS, preencha todos os detalhes necessários. Em seguida, selecione Next: Tags.

    

14. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página DNS e como orientação para preencher a página:

    Definição	Valor sugerido	Description
    Integração com zona DNS privada	Ativado por predefinição.	Selecione Sim se quiser que seu ponto de extremidade privado seja integrado a uma zona DNS privada do Azure, ou Não se quiser usar seus próprios servidores DNS ou se quiser resolver o nome do ponto de extremidade usando arquivos host nas máquinas das quais deseja se conectar por meio do ponto de extremidade privado. Para obter mais informações, consulte Configuração de DNS de ponto de extremidade privado. Se você configurar a integração de zona DNS privada, a zona DNS privada será automaticamente vinculada à rede virtual na qual você cria o ponto de extremidade privado.
    Nome da configuração	Definido automaticamente para .privatelink-postgres-database-azure-com	O nome atribuído à configuração DNS que está associada à zona DNS privada.
    Subscrição	Selecione o nome da subscrição na qual pretende criar a zona DNS privada. Ele seleciona automaticamente a assinatura na qual o servidor está implantado.	Uma subscrição é um contrato com a Microsoft para utilizar uma ou mais plataformas ou serviços na nuvem da Microsoft, para os quais são cobrados encargos com base numa taxa de licença por utilizador ou no consumo de recursos baseado na nuvem. Se tiver várias subscrições, escolha a subscrição na qual pretende ser cobrado pelo recurso.
    Grupo de recursos	O grupo de recursos na assinatura selecionada, no qual você deseja criar a zona DNS privada. Deve ser um grupo de recursos existente. Ele seleciona automaticamente o grupo de recursos no qual o servidor está implantado.	Um grupo de recursos é um contentor que mantém recursos relacionados para uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que pretende gerir como um grupo. Decida como pretende atribuir recursos a grupos de recursos com base no que é mais adequado para a sua organização. Geralmente, adicione recursos que compartilham o mesmo ciclo de vida ao mesmo grupo de recursos para que você possa implantá-los, atualizá-los e excluí-los facilmente como um grupo.
    Zona DNS privada	Definido automaticamente para .privatelink.postgres.database.azure.com	Este nome é o atribuído ao recurso de zona DNS privada.

15. Na página Etiquetas, preencha todos os dados necessários. Em seguida, selecione Avançar: Revisar + criar.

    

16. Use a tabela a seguir para entender o significado dos diferentes campos disponíveis na página Tags e como orientação para preencher a página:

    Definição	Valor sugerido	Description
    Nome	Deixe vazio.	Nome da etiqueta que pretende atribuir ao seu ponto de extremidade privado e zona DNS privada (se tiver selecionado integração de zona DNS privada na página DNS ).
    Valor	Deixe vazio.	Valor que pretende atribuir à etiqueta com o nome fornecido e que pretende atribuir ao seu ponto de extremidade privado e zona DNS privada (se tiver selecionado integração de zona DNS privada na página DNS ).
    Recurso	Sair por padrão.	Você pode selecionar a quais recursos deseja atribuir a determinada tag. Pode ser o ponto de extremidade privado, a zona DNS privada (se você selecionou a integração da zona DNS privada na página DNS ) ou ambos.

17. Na página Rever + criar, certifique-se de que tudo está configurado como pretendia. Em seguida, selecione Criar.

    

18. Uma implantação é iniciada e você vê uma notificação quando a implantação é concluída.

    

CLI

Se você tiver as permissões necessárias para implantar um ponto de extremidade privado e aprovar a conexão de ponto de extremidade privado para seu servidor, poderá criar a conexão de ponto de extremidade privado por meio do comando az network private-endpoint create .

Para criar o ponto de extremidade privado e atribuir à sua interface de rede um endereço IP alocado dinamicamente a partir do intervalo atribuído à sub-rede selecionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Para criar o ponto de extremidade privado e atribuir à sua interface de rede um endereço IP alocado estaticamente a partir do intervalo atribuído à sub-rede selecionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Se você tiver as permissões necessárias, a conexão de ponto de extremidade privado deverá ser aprovada automaticamente. Se esse for o caso, a saída do comando a seguir será mostrada status como Approved, e description como Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

O az network private-endpoint create cria uma privatelink.postgres.database.azure.com zona DNS privada, se ela não existir. E vincula a zona DNS privada à rede virtual na qual o ponto de extremidade privado é criado. No entanto, ele não cria um grupo de zonas DNS no ponto de extremidade privado Se desejar, você pode integrar seu ponto de extremidade privado com uma zona DNS privada. Para tal,

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Se você tentar criar o ponto de extremidade privado com um endereço IP privado alocado estaticamente e o endereço especificado já for usado por alguma outra interface de rede, obterá o seguinte erro:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Se você tentar criar o ponto de extremidade privado e a rede virtual referenciada por meio dos --subscriptionparâmetros , --resource-group and --vnet-name não existirá. Ou se a rede virtual existir, mas a região na qual ela é implantada não corresponder à região na qual você está tentando implantar o ponto de extremidade privado, você receberá o seguinte erro:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Se você tentar criar o ponto de extremidade privado e já existir um com o mesmo nome, mas especificar um valor diferente para --connection-name ou para --vnet-name, obterá o seguinte erro:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Se você tentar criar o ponto de extremidade privado e já existir um com o mesmo nome, mas especificar um valor diferente para --subnet, obterá o seguinte erro:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Se você tentar criar o ponto de extremidade privado e já existir um com o mesmo nome, mas especificar um valor diferente para --location, obterá o seguinte erro:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Conteúdos relacionados

• Redes.
• Habilite o acesso público.
• Desative o acesso público.
• Adicione regras de firewall.
• Exclua regras de firewall.
• Exclua conexões de ponto de extremidade privadas.
• Aprovar conexões de ponto de extremidade privadas.
• Rejeitar conexões de ponto de extremidade privadas.