Lägga till privata slutpunktsanslutningar

Azure Database for PostgreSQL – Flexibel server är en Azure Private Link-tjänst. Det innebär att du kan skapa privata slutpunkter så att dina klientprogram kan ansluta privat och säkert till din flexibla Azure Database for PostgreSQL-server.

En privat slutpunkt till din flexibla Azure Database for PostgreSQL-server är ett nätverksgränssnitt som du kan mata in i ett undernät i ett virtuellt Azure-nätverk. Alla värdar eller tjänster som kan dirigera nätverkstrafik till det undernätet kan kommunicera med din flexibla server så att nätverkstrafiken inte behöver passera internet. All trafik skickas privat med Microsofts stamnät.

Mer information om Azure Private Link och Azure Private Endpoint finns i Vanliga frågor och svar om Azure Private Link.

Portal

Använd Azure Portal:

1. Välj din flexibla Azure Database for PostgreSQL-server.

2. I resursmenyn väljer du Översikt.

   

3. Serverns status måste vara Tillgänglig för att menyalternativet Nätverk ska vara aktiverat.

   

4. Om serverns status inte är Tillgänglig inaktiveras alternativet Nätverk.

   

Kommentar

Alla försök att konfigurera nätverksinställningarna för en server vars status är annan än tillgänglig misslyckas med ett fel.

5. I resursmenyn väljer du Nätverk.

   

6. Om du har de behörigheter som krävs för att distribuera en privat slutpunkt kan du skapa den genom att välja Lägg till privat slutpunkt.

   

Kommentar

Mer information om de behörigheter som krävs för att distribuera en privat slutpunkt finns i Azure RBAC-behörigheter för Azure Private Link.

7. På sidan Grundläggande fyller du i all information som krävs. Välj sedan Nästa: Resurs.

   

8. Använd följande tabell för att förstå innebörden av de olika fälten som är tillgängliga på sidan Grundläggande och som vägledning för att fylla sidan:

   Inställning	Föreslaget värde	beskrivning
   Abonnemang	Välj namnet på den prenumeration där du vill skapa resursen. Den väljer automatiskt den prenumeration där servern distribueras.	En prenumeration är ett avtal med Microsoft om att använda en eller flera Microsoft-molnplattformar eller -tjänster, för vilka avgifter uppkommer baserat på antingen en licensavgift per användare eller på molnbaserad resursförbrukning. Om du har flera prenumerationer väljer du den prenumeration där du vill debiteras för resursen.
   Resursgrupp	Resursgruppen i den valda prenumerationen, där du vill skapa den privata slutpunkten. Det kan vara en befintlig resursgrupp, eller så kan du välja Skapa ny och ange ett namn i prenumerationen som är unikt bland de befintliga resursgruppsnamnen. Den väljer automatiskt den resursgrupp där servern distribueras.	En resursgrupp är en container som innehåller relaterade resurser för en Azure-lösning. Resursgruppen kan innehålla alla resurser för lösningen, eller endast de resurser som du vill hantera som en grupp. Du bestämmer hur du vill allokera resurser till resursgrupper baserat på vad som är lämpligast för din organisation. Lägg vanligtvis till resurser som delar samma livscykel i samma resursgrupp så att du enkelt kan distribuera, uppdatera och ta bort dem som en grupp.
   Namn	Namnet som du vill tilldela till den privata slutpunkten.	Ett unikt namn som identifierar den privata slutpunkt genom vilken du kan ansluta till din flexibla Azure Database for PostgreSQL-server.
   Namn på nätverksgränssnitt	Det namn som du vill tilldela till nätverksgränssnittet som är kopplat till den privata slutpunkten.	Ett unikt namn som identifierar nätverksgränssnittet som är kopplat till den privata slutpunkten.
   Region	Namnet på en av de regioner där du kan skapa privata slutpunkter för Azure Database for PostgreSQL – flexibel server.	Den region som du väljer måste matcha den för det virtuella nätverk där du planerar att distribuera den privata slutpunkten.

9. På sidan Resurs fyller du i all information som krävs. Välj sedan Nästa: Virtuellt nätverk.

   

10. Använd följande tabell för att förstå innebörden av de olika fälten som är tillgängliga på resurssidan och som vägledning för att fylla sidan:

    Inställning	Föreslaget värde	Beskrivning
    Resurstyp	Ange automatiskt till Microsoft.DBforPostgreSQL/flexibleServers	Det här värdet väljs automatiskt åt dig och motsvarar den typ av resurs som en flexibel Azure Database for PostgreSQL-server är för Azure Private Link.
    Resurs	Ange automatiskt namnet på den flexibla Azure Database for PostgreSQL-server som du skapar den privata slutpunkten för.	Namnet på resursen som den privata slutpunkten ansluter till.
    Underresurs för mål	Ange automatiskt till postgresqlServer.	Den typ av underresurs för den valda resursen som din privata slutpunkt kan komma åt.

11. På sidan Virtuellt nätverk fyller du i all information som krävs. Välj sedan Nästa: DNS.

    

12. Använd följande tabell för att förstå innebörden av de olika fälten som är tillgängliga på sidan Virtuellt nätverk och som vägledning för att fylla sidan:

    Inställning	Föreslaget värde	beskrivning
    Virtuellt nätverk	Ange automatiskt till det första (sorterade i alfabetisk ordning) virtuella nätverket som är tillgängligt i den valda prenumerationen och regionen.	Endast virtuella nätverk där du har behörigheter, i den aktuella valda prenumerationen och regionen, visas.
    Undernät	Ange automatiskt namnet på den flexibla Azure Database for PostgreSQL-server som du skapar den privata slutpunkten för.	Endast undernät i det valda virtuella nätverket visas.
    Nätverksprincip för privata slutpunkter	Som standard är nätverksprinciper inaktiverade för ett undernät i ett virtuellt nätverk. Du kan aktivera nätverksprinciper antingen endast för nätverkssäkerhetsgrupper, endast för användardefinierade vägar eller för båda.	Om du vill använda nätverksprinciper som användardefinierade vägar och stöd för nätverkssäkerhetsgrupper måste stöd för nätverksprinciper vara aktiverat för undernätet. Den här inställningen gäller endast privata slutpunkter i undernätet och påverkar alla privata slutpunkter i undernätet. För andra resurser i undernätet styrs åtkomsten baserat på säkerhetsregler i nätverkssäkerhetsgruppen. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
    Privat IP-konfiguration	Ange automatiskt att dynamiskt allokera en av de tillgängliga IP-adresserna i det intervall som tilldelats till det valda undernätet.	Den här IP-adressen är den som tilldelats nätverksgränssnittet som är kopplat till den privata slutpunkten. Det kan allokeras dynamiskt från det intervall som tilldelats till det valda undernätet, eller så kan du bestämma vilken specifik adress du vill tilldela till det. När den privata slutpunkten har skapats kan du inte ändra dess IP-adress, oavsett vilka av de två allokeringslägena du väljer när du skapar den.
    Programsäkerhetsgrupp	Ingen programsäkerhetsgrupp tilldelas som standard. Du kan välja en befintlig eller skapa en och tilldela den.	Med programsäkerhetsgrupper kan du konfigurera nätverkssäkerhet som ett naturligt tillägg till ett programs struktur, så att du kan gruppera virtuella datorer och definiera nätverkssäkerhetsprinciper baserat på dessa grupper. Du kan återanvända din säkerhetsprincip i stor skala utan manuellt underhåll av explicita IP-adresser. Plattformen hanterar komplexiteten med explicita IP-adresser och flera regeluppsättningar så att du kan fokusera på affärslogik. Mer information finns i Programsäkerhetsgrupper.

13. Fyll i all information som krävs på DNS-sidan . Välj sedan Nästa: Taggar.

    

14. Använd följande tabell för att förstå innebörden av de olika fälten som är tillgängliga på DNS-sidan och som vägledning för att fylla sidan:

    Inställning	Föreslaget värde	beskrivning
    Integrera med privat DNS-zon	Aktiverat som standard.	Välj Ja om du vill att din privata slutpunkt ska integreras med en privat DNS-zon i Azure, eller Nej om du vill använda dina egna DNS-servrar, eller om du vill matcha namnet på slutpunkten med hjälp av värdfiler på de datorer som du vill ansluta från via den privata slutpunkten. Mer information finns i DNS-konfiguration för privat slutpunkt. Om du konfigurerar privat DNS-zonintegrering länkas den privata DNS-zonen automatiskt till det virtuella nätverk där du skapar den privata slutpunkten.
    Konfigurationsnamn	Ställ in automatiskt på privatelink-postgres-database-azure-com.	Namnet som tilldelats DNS-konfigurationen som är associerat med den privata DNS-zonen.
    Abonnemang	Välj namnet på prenumerationen där du vill skapa den privata DNS-zonen. Den väljer automatiskt den prenumeration där servern distribueras.	En prenumeration är ett avtal med Microsoft om att använda en eller flera Microsoft-molnplattformar eller -tjänster, för vilka avgifter uppkommer baserat på antingen en licensavgift per användare eller på molnbaserad resursförbrukning. Om du har flera prenumerationer väljer du den prenumeration där du vill debiteras för resursen.
    Resursgrupp	Resursgruppen i den valda prenumerationen, där du vill skapa den privata DNS-zonen. Det måste vara en befintlig resursgrupp. Den väljer automatiskt den resursgrupp där servern distribueras.	En resursgrupp är en container som innehåller relaterade resurser för en Azure-lösning. Resursgruppen kan innehålla alla resurser för lösningen, eller endast de resurser som du vill hantera som en grupp. Du bestämmer hur du vill allokera resurser till resursgrupper baserat på vad som är lämpligast för din organisation. Lägg vanligtvis till resurser som delar samma livscykel i samma resursgrupp så att du enkelt kan distribuera, uppdatera och ta bort dem som en grupp.
    Privat DNS zon	Ställ in automatiskt på privatelink.postgres.database.azure.com.	Det här namnet är det som tilldelats den privata DNS-zonresursen.

15. På sidan Taggar fyller du i all information som krävs. Välj sedan Nästa: Granska + skapa.

    

16. Använd följande tabell för att förstå innebörden av de olika fälten som är tillgängliga på sidan Taggar och som vägledning för att fylla sidan:

    Inställning	Föreslaget värde	Description
    Namn	Lämna tomt.	Namnet på taggen som du vill tilldela till din privata slutpunkt och privata DNS-zon (om du valde privat DNS-zonintegrering på DNS-sidan ).
    Värde	Lämna tomt.	Värde som du vill tilldela taggen med det angivna namnet och som du vill tilldela till din privata slutpunkt och privata DNS-zon (om du valde privat DNS-zonintegrering på DNS-sidan ).
    Resurs	Lämna som standard.	Du kan välja till vilka resurser du vill tilldela den angivna taggen. Det kan vara den privata slutpunkten, den privata DNS-zonen (om du valde privat DNS-zonintegrering på DNS-sidan ) eller båda.

17. På sidan Granska + skapa kontrollerar du att allt är konfigurerat som du vill. Välj sedan Skapa.

    

18. En distribution initieras och du ser ett meddelande när distributionen är klar.

    

CLI

Om du har de behörigheter som krävs för att distribuera en privat slutpunkt och godkänna den privata slutpunktsanslutningen till servern kan du skapa den privata slutpunktsanslutningen via kommandot az network private-endpoint create .

Om du vill skapa den privata slutpunkten och tilldela dess nätverksgränssnitt en IP-adress dynamiskt allokerad från det intervall som tilldelats det valda undernätet:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

För att skapa den privata slutpunkten och tilldela dess nätverksgränssnitt en IP-adress statiskt allokerad från intervallet som tilldelats till det valda undernätet:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Om du hade de behörigheter som krävs bör den privata slutpunktsanslutningen godkännas automatiskt. I så fall visas status utdata från följande kommando som Approved, och description som Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create Skapar en privatelink.postgres.database.azure.com privat DNS-zon, om den inte finns. Och den länkar den privata DNS-zonen till det virtuella nätverk där den privata slutpunkten skapas. Men den skapar inte en DNS-zongrupp i den privata slutpunkten Om du vill kan du integrera din privata slutpunkt med en privat DNS-zon. Gör så här:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Om du försöker skapa den privata slutpunkten med en statiskt allokerad privat IP-adress och den angivna adressen redan används av något annat nätverksgränssnitt får du följande fel:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Om du försöker skapa den privata slutpunkten och det virtuella nätverk som refereras via --subscription, --resource-group och --vnet-name parametrarna inte finns. Eller om det virtuella nätverket finns, men den region där det distribueras inte matchar den region där du försöker distribuera den privata slutpunkten, får du följande fel:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Om du försöker skapa den privata slutpunkten och en redan finns med samma namn, men du anger ett annat värde för --connection-name eller för --vnet-name, får du följande fel:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Om du försöker skapa den privata slutpunkten och en redan finns med samma namn, men du anger ett annat värde för --subnet, får du följande fel:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Om du försöker skapa den privata slutpunkten och en redan finns med samma namn, men du anger ett annat värde för --location, får du följande fel:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

Relaterat innehåll

• Nätverk.
• Aktivera offentlig åtkomst.
• Inaktivera offentlig åtkomst.
• Lägg till brandväggsregler.
• Ta bort brandväggsregler.
• Ta bort privata slutpunktsanslutningar.
• Godkänn privata slutpunktsanslutningar.
• Avvisa privata slutpunktsanslutningar.