Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met Azure Private Link kunt u privé-eindpunten maken voor uw flexibele Azure Database for PostgreSQL-serverexemplaren om deze in uw virtuele netwerk te plaatsen. Deze functionaliteit is een aanbevolen alternatief voor de netwerkmogelijkheden die worden geboden door de integratie van virtuele netwerken.
Met Private Link doorkruist verkeer tussen uw virtuele netwerk en de service het Microsoft backbone-netwerk. U hoeft uw service niet langer bloot te stellen aan het openbare internet. U kunt een eigen Private Link-service maken in uw virtuele netwerk en deze aanbieden bij klanten. Het instellen en verbruik met behulp van Private Link is consistent in Azure PaaS, services van klanten en gedeelde partners.
Private Link wordt beschikbaar gemaakt voor gebruikers via twee Azure-resourcetypen:
- Privé-eindpunten (Microsoft.Network/PrivateEndpoints)
- Privé Link services (Microsoft.Network/PrivateLinkServices)
Privé-eindpunten
Een privé-eindpunt voegt een netwerkinterface toe aan een resource, zodat het een privé-IP-adres krijgt dat is toegewezen vanuit uw virtuele netwerk. Nadat deze is toegepast, kunt u uitsluitend met deze resource communiceren via het virtuele netwerk. Raadpleeg de Private Link-documentatie voor een lijst met PaaS-services die ondersteuning bieden voor Private Link-functionaliteit. Een privé-eindpunt is een privé-IP-adres binnen een specifiek virtueel netwerk en een subnet.
Meerdere privé-eindpunten in verschillende virtuele netwerken of subnetten, zelfs als ze overlappende adresruimten hebben, kunnen verwijzen naar hetzelfde exemplaar van de openbare service.
Belangrijkste voordelen van Private Link
Private Link biedt de volgende voordelen:
- Privétoegang tot services op het Azure-platform: Verbind uw virtuele netwerk met behulp van privé-eindpunten met alle services die kunnen worden gebruikt als toepassingsonderdelen in Azure. Serviceproviders kunnen hun services in hun eigen virtuele netwerk renderen. Consumenten hebben toegang tot deze services in hun lokale virtuele netwerk. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure.
- On-premises en gekoppelde netwerken: toegang tot services die worden uitgevoerd in Azure vanaf on-premises via privépeering van Azure ExpressRoute, VPN-tunnels (virtueel particulier netwerk) en gekoppelde virtuele netwerken met behulp van privé-eindpunten. U hoeft geen ExpressRoute Microsoft-peering in te stellen of door het internet te gaan om de service te bereiken. Private Link biedt een veilige manier om workloads naar Azure te migreren.
- Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt beveiliging tegen risico's van gegevenslekken.
- Globaal bereik: Privé verbinding maken met services die worden uitgevoerd in andere regio's: het virtuele netwerk van de consument kan zich in regio A bevinden. Het kan verbinding maken met services achter Private Link in regio B.
Gebruiksvoorbeelden voor Private Link met Azure Database for PostgreSQL
Clients kunnen verbinding maken met het privé-eindpunt vanuit:
- Hetzelfde virtuele netwerk.
- Een gekoppeld virtueel netwerk in dezelfde regio of tussen regio's.
- Een netwerk-naar-netwerkverbinding tussen regio's.
Clients kunnen ook vanuit on-premises verbinding maken met behulp van ExpressRoute, persoonlijke peering of VPN-tunneling. In het volgende vereenvoudigde diagram ziet u de algemene gebruiksvoorbeelden.
Ondersteunde functies voor Private Link
Hier volgt een beschikbaarheidsmatrix voor meerdere functies voor privé-eindpunten in een flexibele serverinstantie van Azure Database for PostgreSQL.
| Eigenschap | Beschikbaarheid | Opmerkingen |
|---|---|---|
| Hoge beschikbaarheid | Ja | Werkt zoals ontworpen. |
| Replica voor lezen | Ja | Werkt zoals ontworpen. |
| Replica lezen met virtuele eindpunten | Ja | Werkt zoals ontworpen. |
| Herstel naar een bepaald tijdstip | Ja | Werkt zoals ontworpen. |
| Ook openbare/internettoegang met firewallregels toestaan | Ja | Werkt zoals ontworpen. |
| Belangrijke versie-upgrades | Ja | Werkt zoals ontworpen. |
| Microsoft Entra-verificatie | Ja | Werkt zoals ontworpen. |
| Groepsgewijze verbinding met PGBouncer | Ja | Werkt zoals ontworpen. |
| Privé-eindpunt-DNS | Ja | Werkt zoals ontworpen en gedocumenteerd. |
| Versleuteling met door de klant beheerde sleutels | Ja | Werkt zoals ontworpen. |
Privé-eindpunten kunnen alleen worden geconfigureerd voor servers die zijn gemaakt nadat Azure Database for PostgreSQL de ondersteuning voor Private Link heeft geïntroduceerd en waarvan de netwerkmodus is geconfigureerd om geen gebruik te maken van virtuele netwerkintegratie, maar openbare toegang.
Servers die vóór die datum zijn gemaakt en waarvan de netwerkmodus is geconfigureerd om geen gebruik te maken van virtuele netwerkintegratie, maar openbare toegang, bieden nog geen ondersteuning voor het maken van privé-eindpunten. Het gebruik van privé-eindpunten wordt momenteel niet ondersteund op servers die zijn gemaakt met integratie van virtuele netwerken.
Verbinding maken vanaf een Virtuele Azure-machine in een gekoppeld virtueel netwerk
Configureer peering van virtuele netwerken om connectiviteit tot stand te brengen met een exemplaar van een flexibele Azure Database for PostgreSQL-server vanaf een virtuele Azure-machine (VM) in een gekoppeld virtueel netwerk.
Verbinding maken vanaf een Azure-VM in een netwerk-naar-netwerkomgeving
Configureer een netwerk-naar-netwerk-VPN-gatewayverbinding om verbinding te maken met een flexibele Server-instantie van Azure Database for PostgreSQL vanaf een Azure-VM in een andere regio of een ander abonnement.
Verbinding maken vanuit een on-premises omgeving via VPN
Als u verbinding wilt maken vanuit een on-premises omgeving met het exemplaar van de flexibele Azure Database for PostgreSQL-server, kiest en implementeert u een van de volgende opties:
Netwerkbeveiliging en Private Link
Wanneer u privé-eindpunten gebruikt, wordt verkeer beveiligd met een private link-resource. Het platform valideert netwerkverbindingen, waardoor alleen de verbindingen die de opgegeven private-link-resource bereiken, zijn toegestaan. Voor toegang tot meer subresources binnen dezelfde Azure-service zijn meer privé-eindpunten met bijbehorende doelen vereist. Voor Azure Storage hebt u bijvoorbeeld afzonderlijke privé-eindpunten nodig voor toegang tot het bestand en de subresources van de blob.
Privé-eindpunten bieden een privé-toegankelijk IP-adres voor de Azure-service, maar beperken niet noodzakelijkerwijs de toegang tot het openbare netwerk. Voor alle andere Azure-services is echter een ander toegangsbeheer vereist. Deze besturingselementen bieden een extra netwerkbeveiligingslaag voor uw resources, waardoor beveiliging wordt geboden om toegang tot de Azure-service te voorkomen die is gekoppeld aan de private-link-resource.
Privé-eindpunten ondersteunen netwerkbeleid. Netwerkbeleid maakt ondersteuning mogelijk voor netwerkbeveiligingsgroepen (NSG's), door de gebruiker gedefinieerde routes (UDR's) en toepassingsbeveiligingsgroepen (ASG's). Bekijk netwerkbeleid voor privé-eindpunten beheren voor meer informatie over het inschakelen van netwerkbeleid voor een privé-eindpunt. Zie Een toepassingsbeveiligingsgroep configureren met een privé-eindpunt als u een ASG met een privé-eindpunt wilt gebruiken.
Private Link en DNS
Wanneer u een privé-eindpunt gebruikt, moet u verbinding maken met dezelfde Azure-service, maar het IP-adres van het privé-eindpunt gebruiken. Voor de intieme eindpuntverbinding zijn afzonderlijke DNS-instellingen (Domain Name System) vereist om het privé-IP-adres om te kunnen omzetten in de resourcenaam.
Privé-DNS zones bieden domeinnaamomzetting binnen een virtueel netwerk zonder een aangepaste DNS-oplossing. U koppelt de privé-DNS-zones aan elk virtueel netwerk om DNS-services aan dat netwerk te leveren.
Privé-DNS zones bieden afzonderlijke DNS-zonenamen voor elke Azure-service. Als u bijvoorbeeld een Privé-DNS zone hebt geconfigureerd voor de blobservice van het opslagaccount in de vorige installatiekopieën, is privatelink.blob.core.windows.netde naam van de DNS-zone. Raadpleeg de Microsoft-documentatie voor meer van de privé-DNS-zonenamen voor alle Azure-services.
Notitie
Privé-eindpunt Privé-DNS zoneconfiguraties worden automatisch alleen gegenereerd als u het aanbevolen naamgevingsschema gebruikt: privatelink.postgres.database.azure.com.
Op nieuw ingerichte openbare toegangsservers (geen geïntegreerd virtueel netwerk) is er een wijziging in de DNS-indeling. De FQDN van de server wordt nu een CNAME-record in het formulier servername.postgres.database.azure.com dat verwijst naar een A-record in een van de volgende indelingen:
- Als de server een privé-eindpunt heeft met een standaard privé-DNS-zone gekoppeld, gebruikt de A-record de volgende indeling:
server_name.privatelink.postgres.database.azure.com - Als de server geen privé-eindpunten heeft, gebruikt de A-record deze indeling
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
Hybride DNS voor Azure- en on-premises resources
DNS is een kritiek ontwerpartikel in de algemene architectuur van de landingszone. Sommige organisaties willen mogelijk hun bestaande investeringen in DNS gebruiken. Anderen willen mogelijk systeemeigen Azure-mogelijkheden gebruiken voor al hun DNS-behoeften.
U kunt Azure DNS Private Resolver samen met Azure Private DNS-zones gebruiken voor naamomzetting over meerdere locaties. Dns Private Resolver kan een DNS-aanvraag doorsturen naar een andere DNS-server en biedt ook een IP-adres dat door een externe DNS-server kan worden gebruikt om aanvragen door te sturen. Externe on-premises DNS-servers kunnen dus namen omzetten die zich in een Privé-DNS zone bevinden.
Voor meer informatie over hoe u DNS Private Resolver kunt gebruiken met een on-premises DNS-doorstuurserver om DNS-verkeer naar Azure DNS door te sturen, zie:
- DNS-integratie van privé-eindpunt in Azure
- Een PRIVÉ-eindpunt-DNS-infrastructuur maken met Azure Private Resolver voor een on-premises workload
De beschreven oplossingen breiden een on-premises netwerk uit dat al een DNS-oplossing heeft om resources in Azure.Microsoft de architectuur op te lossen.
Integratie van Private Link en DNS in hub-and-spoke-netwerkarchitecturen
Privé-DNS zones worden doorgaans centraal gehost in hetzelfde Azure-abonnement waar het virtuele hubnetwerk wordt geïmplementeerd. Deze centrale hostingpraktijk wordt aangestuurd door cross-premises DNS-naamomzetting en andere behoeften voor centrale DNS-omzetting, zoals Microsoft Entra. In de meeste gevallen hebben alleen netwerk- en identiteitsbeheerders machtigingen voor het beheren van DNS-records in de zones.
In deze architectuur zijn de volgende onderdelen geconfigureerd:
- On-premises DNS-servers hebben voorwaardelijke doorstuurkoppelingen geconfigureerd voor elke openbare DNS-zone voor elk privé-eindpunt, die verwijzen naar de Privé-DNS Resolver die wordt gehost in het virtuele hubnetwerk.
- De Privé-DNS Resolver die wordt gehost in het virtuele hubnetwerk, maakt gebruik van de door Azure geleverde DNS (168.63.129.16) als doorstuurserver.
- Het virtuele hubnetwerk moet zijn gekoppeld aan de namen van de privé-DNS-zone voor Azure-services (bijvoorbeeld
privatelink.postgres.database.azure.comvoor een flexibele Server-instantie van Azure Database for PostgreSQL). - Alle virtuele Azure-netwerken maken gebruik van Privé-DNS Resolver die wordt gehost in het virtuele hubnetwerk.
- De privé-DNS-resolver is niet gezaghebbend voor de bedrijfsdomeinen van een klant, omdat hij slechts een doorstuurserver is (bijvoorbeeld voor Microsoft Entra-domeinnamen). Daarom moet hij uitgaande eindpunten hebben die doorsturen naar de bedrijfsdomeinen van de klant, waarbij ze verwijzen naar de on-premises DNS-servers of naar DNS-servers die in Azure zijn geïmplementeerd en wel gezaghebbend zijn voor dergelijke domeinen.
Private Link en netwerkbeveiligingsgroepen
Standaard zijn netwerkbeleidsregels uitgeschakeld voor een subnet in een virtueel netwerk. Als u netwerkbeleid zoals UDR's en NSG-ondersteuning wilt gebruiken, moet u ondersteuning voor netwerkbeleid inschakelen voor het subnet. Deze instelling is alleen van toepassing op privé-eindpunten binnen het subnet. Deze instelling is van invloed op alle privé-eindpunten binnen het subnet. Voor andere resources in het subnet wordt de toegang beheerd op basis van beveiligingsregels in de NSG.
U kunt netwerkbeleid alleen inschakelen voor NSG's, alleen voor UDR's of voor beide. Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie.
Beperkingen voor NSG's en privé-eindpunten worden vermeld in Wat is een privé-eindpunt?
Belangrijk
Beveiliging tegen gegevenslekken: een privé-eindpunt wordt toegewezen aan een exemplaar van een PaaS-resource in plaats van de hele service. Consumenten kunnen alleen verbinding maken met de specifieke resource. Toegang tot andere resources in de service is geblokkeerd. Dit mechanisme biedt basisbescherming tegen risico's voor gegevenslekken.
Private Link in combinatie met firewallregels
De volgende situaties en resultaten zijn mogelijk wanneer u Private Link gebruikt in combinatie met firewallregels:
Als u geen firewallregels configureert, heeft verkeer standaard geen toegang tot het flexibele serverexemplaren van Azure Database for PostgreSQL.
Als u openbaar verkeer of een service-eindpunt configureert en u privé-eindpunten maakt, worden verschillende typen binnenkomend verkeer geautoriseerd door het bijbehorende type firewallregel.
Als u geen publiek verkeer of service-eindpunt configureert en u privé-eindpunten maakt, is het flexibele serverexemplaar van Azure Database for PostgreSQL alleen toegankelijk via privé-eindpunten. Als u geen openbaar verkeer of een service-eindpunt configureert, kan na het afwijzen of verwijderen van alle goedgekeurde privé-eindpunten geen verkeer de flexibele serverinstantie van Azure Database for PostgreSQL bereiken.
Problemen oplossen
Wanneer u Private Link-eindpunten gebruikt met een exemplaar van een flexibele Azure Database for PostgreSQL-server, kunnen er verbindingsproblemen optreden vanwege onjuiste configuraties of netwerkbeperkingen. Als u deze problemen wilt oplossen, controleert u de installatie van privé-eindpunten, DNS-configuraties, netwerkbeveiligingsgroepen (NSG's) en routetabellen. Systematisch aanpakken van deze gebieden kan u helpen veelvoorkomende problemen te identificeren en op te lossen, waardoor naadloze connectiviteit en beveiligde toegang tot uw database mogelijk zijn.
Connectiviteitsproblemen met netwerken op basis van privé-eindpunten
Als u verbindingsproblemen ondervindt wanneer u op privé-eindpunten gebaseerde netwerken gebruikt, controleert u de volgende gebieden:
- IP-adrestoewijzingen controleren: controleer of het privé-eindpunt het juiste IP-adres heeft toegewezen en of er geen conflicten zijn met andere resources. Zie Privé-eindpunten van Azure beheren voor meer informatie over privé-eindpunten en IP-adressen.
- Controleer NSG's: controleer de NSG-regels voor het subnet van het privé-eindpunt om ervoor te zorgen dat het benodigde verkeer is toegestaan en geen conflicterende regels heeft. Zie Netwerkbeveiligingsgroepen voor meer informatie over NSG's.
- Configuratie van routetabel valideren: zorg ervoor dat de routetabellen die zijn gekoppeld aan het subnet van het privé-eindpunt en de verbonden resources correct zijn geconfigureerd met de juiste routes.
- Netwerkbewaking en diagnostische gegevens gebruiken: Gebruik Azure Network Watcher om netwerkverkeer te bewaken en diagnosticeren met behulp van hulpprogramma's zoals Verbindingsmonitor of Packet Capture. Zie Wat is Azure Network Watcher? voor meer informatie over netwerkdiagnose.
Meer informatie over het oplossen van problemen met privé-eindpunten is ook beschikbaar in Verbindingsproblemen met privé-eindpunten in Azure oplossen.
DNS-resolutie met netwerken op basis van privé-eindpunten
Als u problemen ondervindt met DNS-omzetting wanneer u op privé-eindpunten gebaseerde netwerken gebruikt, controleert u de volgende gebieden:
- DNS-omzetting valideren: controleer of de DNS-server of -service die wordt gebruikt door het privé-eindpunt en de verbonden resources correct werken. Zorg ervoor dat de DNS-instellingen van het privé-eindpunt juist zijn. Zie azure-privé-eindpunten Privé-DNS zonewaarden voor meer informatie over privé-eindpunten en DNS-zone-instellingen.
- Wis de DNS-cache: wis de DNS-cache op het privé-eindpunt of de clientcomputer om ervoor te zorgen dat de meest recente DNS-gegevens worden opgehaald en om inconsistente fouten te voorkomen.
- DNS-logboeken analyseren: Controleer DNS-logboeken op foutberichten of ongebruikelijke patronen, zoals DNS-queryfouten, serverfouten of time-outs. Zie voor meer informatie over DNS-metrieken Azure DNS-metriek en meldingen.
Beperkingen en overwegingen
Privé-eindpunten kunnen alleen worden geconfigureerd voor servers die zijn gemaakt na de introductie van Private Link. Servers die gebruikmaken van VNet-integratie (virtueel netwerk) komen niet in aanmerking voor configuratie van privé-eindpunten.
Het aantal privé-eindpunten wordt niet beperkt door de databaseservice zelf, maar door netwerkbeperkingen van Azure, met name het aantal privé-eindpunten dat kan worden geïnjecteerd in een bepaald subnet binnen een VNet 3.
Virtuele machines kunnen verbinding maken met de database via privé-eindpunten, mits ze correct zijn geconfigureerd binnen hetzelfde virtuele netwerk of de juiste routering hebben.