Dela via

Nätverksöversikt för Azure Database for PostgreSQL – flexibel server med offentlig åtkomst (tillåtna IP-adresser)

  • Artikel

GÄLLER FÖR: Azure Database for PostgreSQL – flexibel server

Den här artikeln beskriver anslutnings- och nätverksbegrepp för Azure Database for PostgreSQL – flexibel server.

När du skapar en flexibel Azure Database for PostgreSQL-server måste du välja något av följande nätverksalternativ:

  • Privat åtkomst (integrering av virtuellt nätverk)
  • Offentlig åtkomst (tillåtna IP-adresser) och privat slutpunkt

Följande egenskaper gäller oavsett om du väljer att använda alternativet privat åtkomst eller offentlig åtkomst:

  • Anslutningar från tillåtna IP-adresser måste autentiseras till den flexibla Azure Database for PostgreSQL-servern med giltiga autentiseringsuppgifter.
  • Anslutningskryptering tillämpas för nätverkstrafiken.
  • Servern har ett fullständigt kvalificerat domännamn (FQDN). För egenskapen hostname i anslutningssträng rekommenderar vi att du använder FQDN i stället för en IP-adress.
  • Båda alternativen styr åtkomsten på servernivå, inte på databas- eller tabellnivå. Du skulle använda PostgreSQL:s rollegenskaper för att styra databas, tabell och annan objektåtkomst.

Kommentar

Eftersom Azure Database for PostgreSQL – Flexibel server är en hanterad databastjänst får användarna inte åtkomst till värd- eller operativsystem för att visa eller ändra konfigurationsfiler som pg_hba.conf. Innehållet i filerna uppdateras automatiskt baserat på nätverksinställningarna.

Använda offentligt åtkomstnätverk med Azure Database for PostgreSQL – flexibel server

När du väljer metoden för offentlig åtkomst nås din flexibla Azure Database for PostgreSQL-server via en offentlig slutpunkt via Internet. Den offentliga slutpunkten är en DNS-adress som kan matchas offentligt. Frasen tillåtna IP-adresser refererar till ett intervall med IP-adresser som du väljer att ge behörighet att komma åt servern. Dessa behörigheter kallas brandväggsregler.

Välj det här nätverksalternativet om du vill ha följande funktioner:

  • Anslut från Azure-resurser som inte stöder virtuella nätverk.
  • Anslut från resurser utanför Azure som inte är anslutna via VPN eller Azure ExpressRoute.
  • Se till att den flexibla Azure Database for PostgreSQL-servern har en offentlig slutpunkt som är tillgänglig via Internet.

Egenskaperna för metoden för offentlig åtkomst är:

  • Endast de IP-adresser som du tillåter har behörighet att komma åt din flexibla Azure Database for PostgreSQL-server. Som standard tillåts inga IP-adresser. Du kan lägga till IP-adresser när servern skapas eller efteråt.
  • Din flexibla Azure Database for PostgreSQL-server har ett offentligt matchbart DNS-namn.
  • Din flexibla Azure Database for PostgreSQL-server finns inte i något av dina virtuella Azure-nätverk.
  • Nätverkstrafik till och från servern går inte över ett privat nätverk. Trafiken använder de allmänna Internetvägarna.

Brandväggsregler

Brandväggsregler på servernivå gäller för alla databaser på samma flexibla Azure Database for PostgreSQL-server. Om käll-IP-adressen för begäran ligger inom något av de intervall som anges i brandväggsreglerna på servernivå beviljas anslutningen. Annars avvisas den. Om ditt program till exempel ansluter med JDBC-drivrutinen för PostgreSQL kan det här felet uppstå när du försöker ansluta när brandväggen blockerar anslutningen.

java.util.concurrent.ExecutionException: java.lang.RuntimeException: org.postgresql.util.PSQLException: FATAL: no pg_hba.conf entry for host "123.45.67.890", user "adminuser", database "postgresql", SSL

Kommentar

Om du vill komma åt Azure Database for PostgreSQL – flexibel server från din lokala dator kontrollerar du att brandväggen i nätverket och den lokala datorn tillåter utgående kommunikation på TCP-port 5432.

Programmatiskt hanterade brandväggsregler

Förutom att använda till Azure Portal kan du hantera brandväggsregler programmatiskt med hjälp av Azure CLI. Mer information finns i Skapa och hantera Azure Database for PostgreSQL – brandväggsregler för flexibel server med hjälp av Azure CLI.

Tillåt alla Azure IP-adresser

Vi rekommenderar att du hittar den utgående IP-adressen för alla program eller tjänster och uttryckligen tillåter åtkomst till dessa enskilda IP-adresser eller intervall. Om en fast utgående IP-adress inte är tillgänglig för din Azure-tjänst kan du överväga att aktivera anslutningar från alla IP-adresser för Azure-datacenter.

Om du vill aktivera den här inställningen från Azure Portal går du till fönstret Nätverk och markerar kryssrutan Tillåt offentlig åtkomst från alla Azure-tjänster i Azure till den här servern och väljer sedan Spara.

Viktigt!

Alternativet Tillåt offentlig åtkomst från Azure-tjänster och resurser i Azure konfigurerar brandväggen för att tillåta alla anslutningar från Azure, inklusive anslutningar från andra kunders prenumerationer. När du väljer det här alternativet kontrollerar du att dina inloggnings- och användarbehörigheter begränsar åtkomsten till endast behöriga användare.

Felsöka problem med offentlig åtkomst

Tänk på följande när åtkomsten till Azure Database for PostgreSQL – Flexibel server inte fungerar som förväntat:

  • Ändringar i listan över tillåtna har inte börjat gälla än. Det kan ta upp till fem minuter innan ändringar i brandväggskonfigurationen för den flexibla Azure Database for PostgreSQL-servern börjar gälla.

  • Autentiseringen misslyckades. Om en användare inte har behörighet på den flexibla Azure Database for PostgreSQL-servern eller om lösenordet är felaktigt nekas anslutningen till den flexibla Azure Database for PostgreSQL-servern. Om du skapar en brandväggsinställning får klienterna bara möjlighet att försöka ansluta till servern. Varje klient måste fortfarande ange nödvändiga säkerhetsautentiseringsuppgifter.

  • Dynamisk klient-IP-adress förhindrar åtkomst. Om du har en Internetanslutning med dynamisk IP-adressering och du har problem med att komma igenom brandväggen kan du prova någon av följande lösningar:

    • Fråga internetleverantören (ISP) om DET IP-adressintervall som tilldelats till dina klientdatorer som har åtkomst till azure database for PostgreSQL – flexibel server. Lägg sedan till IP-adressintervallet som en brandväggsregel.
    • Hämta statisk IP-adressering i stället för dina klientdatorer. Lägg sedan till den statiska IP-adressen som en brandväggsregel.

  • Brandväggsregeln är inte tillgänglig för IPv6-format. Brandväggsreglerna måste anges i IPv4-format. Om du anger brandväggsregler i IPv6-format får du ett verifieringsfel.

Värdnamn

Oavsett vilket nätverksalternativ du väljer rekommenderar vi att du alltid använder ett FQDN som värdnamn när du ansluter till din flexibla Azure Database for PostgreSQL-server. Serverns IP-adress är inte garanterad att förbli statisk. Med hjälp av FQDN kan du undvika att göra ändringar i dina anslutningssträng.

Ett exempel som använder ett FQDN som värdnamn är hostname = servername.postgres.database.azure.com. Undvik om möjligt att använda hostname = 10.0.0.4 (en privat adress) eller hostname = 40.2.45.67 (en offentlig adress).

Relaterat innehåll

  • Lär dig hur du skapar en flexibel Azure Database for PostgreSQL-server med alternativet Offentlig åtkomst (tillåtna IP-adresser) i Azure Portal eller Azure CLI.