新增私人端點連線

適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器是 Azure Private Link 服務。 這表示您可以建立私人端點，讓您的用戶端應用程式可以私下安全地連線到 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器。

適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的私人端點是可在 Azure 虛擬網路的子網中插入的網路介面。 任何可將網路流量路由傳送至該子網的主機或服務，都能夠與彈性伺服器通訊，讓網路流量不需要周遊因特網。 所有流量都會使用Microsoft骨幹私下傳送。

如需 Azure Private Link 和 Azure 私人端點的詳細資訊，請參閱 Azure Private Link 常見問題。

入口網站

使用 Azure 入口網站：

1. 選取您的 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器。

2. 在資源功能表中，選取 [概觀]。

   

3. 伺服器的狀態必須為 [可用]，才能啟用 [ 網络 ] 功能表選項。

   

4. 如果伺服器的狀態無法使用，則會停用 [網络] 選項。

   

注意

任何嘗試設定狀態不是可用之伺服器的網路設定，都會失敗並出現錯誤。

5. 在資源功能表中，選取 [網络]。

   

6. 如果您有部署私人端點所需的許可權，您可以選取 [新增私人端點] 來建立它。

   

注意

若要瞭解部署私人端點的必要許可權，請參閱 Azure Private Link 的 Azure RBAC 許可權。

7. 在 [ 基本] 頁面中，填入所有必要的詳細數據。 然後，選取 [下一步：資源]。

   

8. 使用下表來瞭解 [基本] 頁面中可用之不同字段的意義，並做為填滿頁面的指引：

   設定	建議的值	描述
   訂用帳戶	選取您要在其中建立資源的訂用帳戶名稱。 它會自動選取部署伺服器所在的訂用帳戶。	訂用帳戶是與Microsoft合約，可使用一或多個Microsoft雲端平臺或服務，其費用會根據每位使用者授權費用或雲端式資源耗用量而產生。 如果您有多個訂用帳戶，請選擇您想要針對資源計費的訂用帳戶。
   資源群組	您要在其中建立私人端點之所選訂用帳戶中的資源群組。 它可以是現有的資源群組，或者您可以選取 [新建]，並在該訂用帳戶中提供該訂用帳戶中的名稱，這在現有的資源組名中是唯一的。 它會自動選取部署伺服器的資源群組。	「資源群組」是存放 Azure 解決方案相關資源的容器。 該資源群組可包含解決方案的所有資源，或是只包含您想以群組方式管理的資源。 您可根據對組織最有利的方式，決定如何將資源配置到資源群組。 一般而言，將共用相同生命週期的資源新增至相同的資源群組，以便您輕鬆地以群組的形式部署、更新和刪除資源。
   名稱	您想要指定給私人端點的名稱。	可識別私人端點的唯一名稱，您可以透過此端點連線到 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器。
   網路介面名稱	您想要指派給與私人端點相關聯之網路介面的名稱。	唯一名稱，識別與私人端點相關聯的網路介面。
   區域	您可以為 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器建立私人端點的其中一個區域名稱。	您選取的區域必須符合您打算部署私人端點的虛擬網路區域。

9. 在 [ 資源] 頁面中，填入所有必要的詳細數據。 然後，選取 [下一步：虛擬網絡]。

   

10. 使用下表來瞭解 [資源] 頁面中可用之不同字段的意義，並做為填滿頁面的指引：

    設定	建議的值	描述
    資源類型	自動設定為 Microsoft.DBforPostgreSQL/flexibleServers	這個值會自動為您選擇，並對應至 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的資源類型，對應至 Azure Private Link 的眼睛。
    資源	自動設定為您建立私人端點之 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的名稱。	私人端點所連線的資源名稱。
    目標子資源	自動設定為 postgresqlServer。	所選資源的子資源類型，您的私人端點可以存取。

11. 在 [虛擬網絡] 頁面中，填入所有必要的詳細數據。 然後，選取 [下一步：DNS]。

    

12. 使用下表來瞭解 虛擬網絡 頁面中可用之不同欄位的意義，並做為填滿頁面的指引：

    設定	建議的值	描述
    虛擬網路	自動設定為所選訂用帳戶和區域中可用的第一個虛擬網路（依字母順序排序）。	只會列出您具有許可權的虛擬網路，位於目前選取的訂用帳戶和區域中。
    子網路	自動設定為您建立私人端點之 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的名稱。	目前選取的虛擬網路中只會列出子網。
    私人端點的網路原則	根據預設，虛擬網路中的子網路會停用網路原則。 您可以只針對網路安全性群組和/或只針對使用者定義路由啟用網路原則。	若要使用使用者定義路由和網路安全性群組支援等網路原則，子網路必須啟用網路原則支援。 此設定僅適用於子網路中的私人端點，並且會影響子網路中的所有私人端點。 針對子網路中的其他資源，會根據網路安全性群組中的安全性規則來控制存取權。 如需詳細資訊，請參閱管理私人端點的網路原則。
    私人 IP 設定	自動設定為在指派給所選子網的範圍中動態配置其中一個可用的IP位址。	此IP位址是指派給與私人端點相關聯之網路介面的IP位址。 它可以從指派給所選子網的範圍動態配置，也可以決定要指派給它的特定位址。 建立私人端點之後，您就無法變更其IP位址，不論您在建立期間選取哪兩種配置模式。
    應用程式安全性群組	預設不會指派任何應用程式安全組。 您可以選擇現有的帳戶，也可以建立一個並指派它。	應用程式安全性群組可讓您將網路安全性設定為應用程式結構的自然延伸，以便分組虛擬機器，並定義以那些群組為基礎的網路安全性原則。 您可以大規模重複使用您的安全性原則，而不需進行明確 IP 位址的手動維護。 此平台可處理明確 IP 位址和多個規則集的複雜性，讓您專注於商務邏輯。 如需詳細資訊，請參閱 應用程式安全組。

13. 在 [DNS] 頁面中，填入所有必要的詳細數據。 然後，選取 [下一步：卷標]。

    

14. 使用下表來瞭解 DNS 頁面中可用之不同欄位的意義，並做為填滿頁面的指引：

    設定	建議的值	描述
    與私人 DNS 區域整合	預設為啟用。	如果您想要將私人端點與 Azure 私人 DNS 區域整合，或如果您想要使用自己的 DNS 伺服器，或如果您想要使用私人端點的機器中的主機檔案解析端點的名稱，請選取 [是]。 如需詳細資訊，請參閱 私人端點 DNS 組態。 如果您設定私人 DNS 區域整合，私人 DNS 區域會自動連結到您建立私人端點的虛擬網路。
    組態名稱	自動為您設定為 privatelink-postgres-database-azure-com。	指派給 DNS 組態的名稱，與私人 DNS 區域相關聯。
    訂用帳戶	選取您要在其中建立私人 DNS 區域的訂用帳戶名稱。 它會自動選取部署伺服器所在的訂用帳戶。	訂用帳戶是與Microsoft合約，可使用一或多個Microsoft雲端平臺或服務，其費用會根據每位使用者授權費用或雲端式資源耗用量而產生。 如果您有多個訂用帳戶，請選擇您想要針對資源計費的訂用帳戶。
    資源群組	所選訂用帳戶中的資源群組，您要在其中建立私人 DNS 區域。 它必須是現有的資源群組。 它會自動選取部署伺服器的資源群組。	「資源群組」是存放 Azure 解決方案相關資源的容器。 該資源群組可包含解決方案的所有資源，或是只包含您想以群組方式管理的資源。 您可根據對組織最有利的方式，決定如何將資源配置到資源群組。 一般而言，將共用相同生命週期的資源新增至相同的資源群組，以便您輕鬆地以群組的形式部署、更新和刪除資源。
    私人 DNS 區域	自動為您設定為 privatelink.postgres.database.azure.com。	此名稱是指派給私人 DNS 區域資源的名稱。

15. 在 [ 標記] 頁面中，填入所有必要的詳細數據。 然後，選取 [下一步：檢閱 + 建立]。

    

16. 使用下表來瞭解 [卷標] 頁面中可用之不同字段的意義，並做為填滿頁面的指引：

    設定	建議的值	名描述
    名稱	保留空白。	您想要指派給私人端點和私人 DNS 區域的標籤名稱（如果您在 DNS 頁面中選取私人 DNS 區域整合）。
    ReplTest1	保留空白。	您想要指派給具有指定名稱的標籤，而且您想要指派給私人端點和私人 DNS 區域的值（如果您在 DNS 頁面中選取私人 DNS 區域整合）。
    資源	預設保留 。	您可以選取要指派指定標籤的資源。 它可以是私人端點、私人 DNS 區域（如果您在 DNS 頁面中選取私人 DNS 區域整合），或兩者。

17. 在 [ 檢閱 + 建立] 頁面中，確定所有專案都已設定為您想要。 然後，選取 [建立]。

    

18. 部署已起始，而且您會在部署完成時看到通知。

    

CLI

如果您有部署私人端點及核准伺服器私人端點連線所需的許可權，您可以透過 az network private-endpoint create 命令建立私人端點連線。

若要建立私人端點，並指派給其網路介面，IP 位址會從指派給所選子網的範圍動態配置：

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

若要建立私人端點，並指派給其網路介面，IP 位址會從指派給所選子網的範圍靜態配置：

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

如果您有必要的許可權，則應該會自動核准私人端點連線。 如果是這種情況，下列命令的輸出會顯示 status 為 Approved， 與 description 作為 Auto-Approved：

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

如果不存在，則會 az network private-endpoint create 建立 privatelink.postgres.database.azure.com 私人 DNS 區域。 並將私人 DNS 區域連結至建立私人端點的虛擬網路。 不過，如果您想要的話，它不會在私人端點中建立 DNS 區域群組，您可以將私人端點與私人 DNS 區域整合。 若要這樣做，

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

如果您嘗試使用靜態配置的私人 IP 位址來建立私人端點，而且其他網路介面已經使用指定的位址，您會收到下列錯誤：

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

如果您嘗試建立私人端點和透過 --subscription所參考的虛擬網路， --resource-group 且 --vnet-name 參數不存在。 或者，如果虛擬網路存在，但部署所在的區域不符合您嘗試部署私人端點的區域，您會收到下列錯誤：

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

如果您嘗試建立私人端點，且已有同名的端點存在，但針對 或 --vnet-name指定不同的值--connection-name，您會收到下列錯誤：

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

如果您嘗試建立私人端點，且已有同名的端點存在，但您為 --subnet指定不同的值，您會收到下列錯誤：

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

如果您嘗試建立私人端點，且已有同名的端點存在，但您為 --location指定不同的值，您會收到下列錯誤：

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.

相關內容

• 網路功能。
• 啟用公用存取。
• 停用公用存取。
• 新增防火牆規則。
• 刪除防火牆規則。
• 刪除私人端點連線。
• 核准私人端點連線。
• 拒絕私人端點連線。