Добавление подключений к частной конечной точке

База данных Azure для PostgreSQL — гибкий сервер — это служба Приватный канал Azure. Это означает, что вы можете создавать частные конечные точки, чтобы клиентские приложения могли безопасно подключаться к База данных Azure для PostgreSQL гибкому серверу.

Частная конечная точка для гибкого сервера База данных Azure для PostgreSQL — это сетевой интерфейс, который можно внедрить в подсеть виртуальной сети Azure. Любой узел или служба, которые могут маршрутизировать сетевой трафик к этой подсети, могут взаимодействовать с гибким сервером, чтобы сетевой трафик не должен проходить через Интернет. Весь трафик отправляется в частном порядке с помощью магистрали Майкрософт.

Дополнительные сведения о Приватный канал Azure и частной конечной точке Azure см. в Приватный канал Azure часто задаваемых вопросов.

Портал

В случае использования портала Azure выполните следующие действия:

1. Выберите гибкий сервер База данных Azure для PostgreSQL.

2. В меню ресурсов выберите Обзор.

   

3. Состояние сервера должно быть доступно для включения параметра меню "Сеть ".

   

4. Если состояние сервера недоступно, параметр "Сеть" отключен.

   

Примечание.

Любая попытка настроить параметры сети сервера, состояние которого отличается от доступности, завершится ошибкой.

5. В меню ресурсов выберите "Сеть".

   

6. Если у вас есть необходимые разрешения для развертывания частной конечной точки, можно создать ее, выбрав "Добавить частную конечную точку".

   

Примечание.

Дополнительные сведения о необходимых разрешениях для развертывания частной конечной точки см. в статье о разрешениях Azure RBAC для Приватный канал Azure.

7. На странице "Основы" заполните все необходимые сведения. Затем нажмите кнопку "Далее: Ресурс".

   

8. Используйте следующую таблицу, чтобы понять смысл различных полей, доступных на странице "Основы ", и в качестве руководства для заполнения страницы:

   Параметр	Предлагаемое значение	Description
   Подписка	Выберите имя подписки , в которой нужно создать ресурс. Он автоматически выбирает подписку, в которой развернут сервер.	Подписка — это соглашение с Корпорацией Майкрософт об использовании одной или нескольких облачных платформ или служб Майкрософт, для которых взимается плата за лицензию на пользователя или использование облачных ресурсов. Если у вас есть несколько подписок, выберите ту, через которую вы предпочитаете оплачивать этот ресурс.
   Группа ресурсов	Группа ресурсов в выбранной подписке, в которой требуется создать частную конечную точку. Она может быть существующей группой ресурсов или выбрать команду "Создать" и указать имя в этой подписке, которая является уникальной среди существующих имен групп ресурсов. Он автоматически выбирает группу ресурсов, в которой развернут сервер.	Группа ресурсов — это контейнер, содержащий связанные ресурсы для решения Azure. В группу ресурсов могут входить все ресурсы приложения или только те, которыми необходимо управлять совместно. Кроме того, пользователи могут выбрать оптимальный для своей организации способ распределения ресурсов в группах ресурсов. Как правило, ресурсы с общим жизненным циклом добавляют в одну и ту же группу ресурсов, чтобы их можно было легко развертывать, обновлять и удалять в виде группы.
   Имя	Имя, которое необходимо назначить частной конечной точке.	Уникальное имя, определяющее частную конечную точку, через которую можно подключиться к База данных Azure для PostgreSQL гибкому серверу.
   Имя сетевого интерфейса	Имя, которое необходимо назначить сетевому интерфейсу, связанному с частной конечной точкой.	Уникальное имя, определяющее сетевой интерфейс, связанный с частной конечной точкой.
   Регион	Имя одного из регионов, в которых можно создать частные конечные точки для База данных Azure для PostgreSQL — гибкий сервер.	Выбранная область должна соответствовать виртуальной сети, в которой планируется развернуть частную конечную точку.

9. На странице ресурсов заполните все необходимые сведения. Затем нажмите кнопку Далее: виртуальная сеть.

   

10. Используйте следующую таблицу, чтобы понять смысл различных полей, доступных на странице ресурсов , и в качестве руководства для заполнения страницы:

    Параметр	Предлагаемое значение	Описание
    Тип ресурса	Автоматически задано значение Microsoft.DBforPostgreSQL/flexibleServers	Это значение автоматически выбирается для вас и соответствует типу ресурса, который База данных Azure для PostgreSQL гибкий сервер является глазами Приватный канал Azure.
    Ресурс	Автоматически задайте имя База данных Azure для PostgreSQL гибкого сервера, для которого создается частная конечная точка.	Имя ресурса, к которому подключается частная конечная точка.
    Целевой вложенный ресурс	Автоматически задано значение postgresqlServer.	Тип подресурса выбранного ресурса, к которому может получить доступ частная конечная точка.

11. На странице виртуальная сеть заполните все необходимые сведения. Затем нажмите кнопку "Далее: DNS".

    

12. Используйте следующую таблицу, чтобы понять смысл различных полей, доступных на странице виртуальная сеть, и в качестве руководства для заполнения страницы:

    Параметр	Предлагаемое значение	Description
    Виртуальная сеть	Автоматически устанавливается первая (отсортированная в алфавитном порядке) виртуальная сеть, доступная в выбранной подписке и регионе.	Перечислены только виртуальные сети, в которых есть разрешения, в выбранной в настоящее время подписке и регионе.
    Подсеть	Автоматически задайте имя База данных Azure для PostgreSQL гибкого сервера, для которого создается частная конечная точка.	Перечислены только подсети в выбранной виртуальной сети.
    Сетевая политика для частных конечных точек	По умолчанию политики сети отключены для подсети в виртуальной сети. Политики сети можно включить только для групп безопасности сети, только для определяемых пользователем маршрутов или для обоих.	Чтобы использовать политики сети, такие как определяемые пользователем маршруты и поддержка группы безопасности сети, необходимо включить поддержку политики сети для подсети. Этот параметр применяется только к частным конечным точкам в подсети и влияет на все частные конечные точки в подсети. Для других ресурсов в подсети управление доступом осуществляется на основе правил безопасности в группе безопасности сети. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".
    Конфигурация частного IP-адреса	Автоматически устанавливается для динамического выделения одного из доступных IP-адресов в диапазоне, назначенном выбранной подсети.	Этот IP-адрес назначается сетевому интерфейсу, связанному с частной конечной точкой. Он может быть динамически выделен из диапазона, назначенного выбранной подсети, или выбрать конкретный адрес, который вы хотите назначить ему. После создания частной конечной точки нельзя изменить IP-адрес независимо от того, какой из двух режимов выделения вы выбираете во время создания.
    Группа безопасности приложений	По умолчанию группа безопасности приложений не назначается. Вы можете выбрать существующую или создать ее и назначить ее.	Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную. Платформа сама обрабатывает явные IP-адреса и множество наборов правил, позволяя вам сосредоточиться на бизнес-логике. Дополнительные сведения см. в разделе "Группы безопасности приложений".

13. На странице DNS заполните все необходимые сведения. Затем нажмите кнопку "Далее: теги".

    

14. Используйте следующую таблицу, чтобы понять смысл различных полей, доступных на странице DNS , и в качестве руководства для заполнения страницы:

    Параметр	Предлагаемое значение	Description
    Интеграция с частной зоной DNS	Включено по умолчанию.	Выберите "Да ", если вы хотите, чтобы частная конечная точка была интегрирована с частной зоной DNS Azure или нет , если вы хотите использовать собственные DNS-серверы, или если вы хотите разрешить имя конечной точки с помощью файлов узлов на компьютерах, из которых требуется подключиться через частную конечную точку. Дополнительные сведения см. в разделе конфигурации DNS частной конечной точки. При настройке интеграции частной зоны DNS частная зона DNS автоматически связана с виртуальной сетью, в которой создается частная конечная точка.
    Имя конфигурации	Автоматически задано для вас privatelink-postgres-database-azure-comзначение .	Имя, назначенное конфигурации DNS, связанной с частной зоной DNS.
    Подписка	Выберите имя подписки , в которой необходимо создать частную зону DNS. Он автоматически выбирает подписку, в которой развернут сервер.	Подписка — это соглашение с Корпорацией Майкрософт об использовании одной или нескольких облачных платформ или служб Майкрософт, для которых взимается плата за лицензию на пользователя или использование облачных ресурсов. Если у вас есть несколько подписок, выберите ту, через которую вы предпочитаете оплачивать этот ресурс.
    Группа ресурсов	Группа ресурсов в выбранной подписке, в которой требуется создать частную зону DNS. Она должна быть существующей группой ресурсов. Он автоматически выбирает группу ресурсов, в которой развернут сервер.	Группа ресурсов — это контейнер, содержащий связанные ресурсы для решения Azure. В группу ресурсов могут входить все ресурсы приложения или только те, которыми необходимо управлять совместно. Кроме того, пользователи могут выбрать оптимальный для своей организации способ распределения ресурсов в группах ресурсов. Как правило, ресурсы с общим жизненным циклом добавляют в одну и ту же группу ресурсов, чтобы их можно было легко развертывать, обновлять и удалять в виде группы.
    Частная зона DNS	Автоматически задано для вас privatelink.postgres.database.azure.comзначение .	Это имя, назначенное ресурсу частной зоны DNS.

15. На странице тегов заполните все необходимые сведения. Затем нажмите кнопку "Далее" и " Проверить и создать".

    

16. Используйте следующую таблицу, чтобы понять смысл различных полей, доступных на странице тегов , и в качестве руководства для заполнения страницы:

    Параметр	Предлагаемое значение	Описание:
    Имя	Оставьте пустым.	Имя тега, который вы хотите назначить частной конечной точке и частной зоне DNS (если вы выбрали интеграцию частной зоны DNS на странице DNS ).
    Value	Оставьте пустым.	Значение, которое необходимо назначить тегу с заданным именем, и которое вы хотите назначить частной конечной точке и частной зоне DNS (если вы выбрали интеграцию частной зоны DNS на странице DNS ).
    Ресурс	Оставьте по умолчанию.	Вы можете выбрать ресурсы, которым вы хотите назначить заданный тег. Это может быть частная конечная точка, частная зона DNS (если вы выбрали интеграцию частной зоны DNS на странице DNS ) или оба.

17. На странице "Просмотр и создание" убедитесь, что все настроено так, как вы хотите. Затем выберите Создать.

    

18. Развертывание инициируется и по завершении развертывания отображается уведомление.

    

CLI

Если у вас есть необходимые разрешения для развертывания частной конечной точки и утверждения подключения частной конечной точки к серверу, можно создать подключение частной конечной точки с помощью команды az network private-endpoint create .

Чтобы создать частную конечную точку и назначить сетевому интерфейсу IP-адрес динамически выделяется из диапазона, назначенного выбранной подсети:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Чтобы создать частную конечную точку и назначить сетевому интерфейсу IP-адрес, статически выделенный из диапазона, назначенного выбранной подсети:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Если у вас есть необходимые разрешения, подключение частной конечной точки должно быть автоматически утверждено. Если это так, выходные данные следующей команды будут отображаться status как Approvedи description как Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

Создает az network private-endpoint create частную privatelink.postgres.database.azure.com зону DNS, если она не существует. И он связывает частную зону DNS с виртуальной сетью, в которой создается частная конечная точка. Однако она не создает группу зон DNS в частной конечной точке, если вы хотите, вы можете интегрировать частную конечную точку с частной зоной DNS. Для этого выполните следующие действия:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Если вы пытаетесь создать частную конечную точку со статически выделенным частным IP-адресом, а указанный адрес уже используется другим сетевым интерфейсом, вы получите следующую ошибку:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Если вы пытаетесь создать частную конечную точку и виртуальную сеть, на которую ссылается ссылка, через нее --subscription--resource-group--vnet-name не существуют. Или если виртуальная сеть существует, но регион, в котором он развернут, не соответствует региону, в котором вы пытаетесь развернуть частную конечную точку, вы получите следующую ошибку:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Если вы пытаетесь создать частную конечную точку и одну уже существует с тем же именем, но укажите другое значение для --connection-name или для --vnet-name, вы получите следующую ошибку:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Если вы пытаетесь создать частную конечную точку и одну уже существует с тем же именем, но укажите другое значение --subnet, вы получите следующую ошибку:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Если вы пытаетесь создать частную конечную точку и одну уже существует с тем же именем, но укажите другое значение --location, вы получите следующую ошибку:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Связанный контент

• Сеть.
• Включение общедоступного доступа.
• Отключение общедоступного доступа.
• Добавьте правила брандмауэра.
• Удаление правил брандмауэра.
• Удаление подключений к частной конечной точке.
• Утверждение подключений к частной конечной точке.
• Отклонить подключения к частной конечной точке.