Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Azure Private Link kan du skapa privata slutpunkter för din flexibla Azure Database for PostgreSQL-serverinstans för att få in den i ditt virtuella nätverk. Den här funktionen är ett rekommenderat alternativ till de nätverksfunktioner som tillhandahålls av integrering av virtuella nätverk.
Med Private Link passerar trafiken mellan ditt virtuella nätverk och tjänsten Microsofts stamnätverk. Det är inte längre nödvändigt att exponera tjänsten i det offentliga Internet. Du kan skapa en egen privat länktjänst i ditt virtuella nätverk och leverera den till kunderna. Konfiguration och förbrukning med Private Link är konsekvent i Azure PaaS, kundägda och delade partnertjänster.
Private Link exponeras för användare via två Azure-resurstyper:
- Privata slutpunkter (Microsoft.Network/PrivateEndpoints)
- Private Link-tjänster (Microsoft.Network/PrivateLinkServices)
Privata slutpunkter
En privat slutpunkt lägger till ett nätverksgränssnitt till en resurs, vilket ger den en privat IP-adress som tilldelats från ditt virtuella nätverk. När den har tillämpats kan du kommunicera med den här resursen exklusivt via det virtuella nätverket. En lista över PaaS-tjänster som stöder Private Link-funktioner finns i Private Link-dokumentationen. En privat slutpunkt är en privat IP-adress i ett specifikt virtuellt nätverk och ett undernät.
Flera privata slutpunkter i olika virtuella nätverk eller undernät, även om de har överlappande adressutrymmen, kan referera till samma offentliga tjänstinstans.
Viktiga fördelar med Private Link
Private Link ger följande fördelar:
- Privat åtkomst till tjänster på Azure-plattformen: Anslut ditt virtuella nätverk med hjälp av privata slutpunkter till alla tjänster som kan användas som programkomponenter i Azure. Tjänsteleverantörer kan återge sina tjänster i sitt eget virtuella nätverk. Konsumenter kan komma åt dessa tjänster i sitt lokala virtuella nätverk. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket.
- Lokala och ihopkopplade nätverk: Åtkomst till tjänster som körs i Azure från lokala nätverk genom Azure ExpressRoute privat peering, VPN-tunnlar (virtuellt privat nätverk) och virtuellt ihopkopplade nätverk med hjälp av privata slutpunkter. Du behöver inte konfigurera ExpressRoute Microsoft-peering eller gå via Internet för att nå tjänsten. Private Link är ett säkert sätt att migrera arbetsbelastningar till Azure.
- Skydd mot dataläckage: En privat slutpunkt mappas till en instans av en PaaS-resurs i stället för hela tjänsten. Konsumenter kan bara ansluta till den specifika resursen. Åtkomst till andra resurser i tjänsten blockeras. Den här mekanismen ger skydd mot dataläckagerisker.
- Global räckvidd: Anslut privat till tjänster som körs i andra regioner: Konsumentens virtuella nätverk kan finnas i region A. Den kan ansluta till tjänster bakom Private Link i region B.
Användningsfall för Private Link med Azure Database for PostgreSQL
Klienter kan ansluta till den privata slutpunkten från:
- Samma virtuella nätverk.
- Ett peer-kopplat virtuellt nätverk i samma region eller mellan regioner.
- En nätverks-till-nätverk-anslutning mellan regioner.
Klienter kan också ansluta lokalt med hjälp av ExpressRoute, privat peering eller VPN-tunneltrafik. Följande förenklade diagram visar vanliga användningsfall.
Funktioner som stöds för Private Link
Här är en tillgänglighetsmatris för flera funktioner för privata slutpunkter i en flexibel Azure Database for PostgreSQL-serverinstans.
| Egenskap | Tillgänglighet | Anteckningar |
|---|---|---|
| Hög tillgänglighet | Ja | Fungerar som den är utformad. |
| Läs replik | Ja | Fungerar som den är utformad. |
| Läs kopia med virtuella slutpunkter | Ja | Fungerar som den är utformad. |
| Återställ vid en tidpunkt | Ja | Fungerar som den är utformad. |
| Tillåter även offentlig/internetåtkomst med brandväggsregler | Ja | Fungerar som den är utformad. |
| Större versionsuppgradering | Ja | Fungerar som den är utformad. |
| Microsoft Entra-autentisering | Ja | Fungerar som den är utformad. |
| Anslutningspoolhantering med PGBouncer | Ja | Fungerar som den är utformad. |
| Privat slutpunkts-DNS | Ja | Fungerar som utformat och dokumenterat. |
| Kryptering med kundhanterade nycklar | Ja | Fungerar som den är utformad. |
Privata slutpunkter kan bara konfigureras för servrar som skapades efter att Azure Database for PostgreSQL introducerade stödet för Private Link och vars nätverksläge har konfigurerats för att inte använda integrering av virtuella nätverk utan offentlig åtkomst.
Servrar som skapades före det datumet och vars nätverksläge har konfigurerats för att inte använda integrering av virtuella nätverk utan offentlig åtkomst har ännu inte stöd för att skapa privata slutpunkter. Användningen av privata slutpunkter stöds för närvarande inte på servrar som skapats med integrering av virtuella nätverk.
Ansluta från en virtuell Azure-dator i ett peer-kopplat virtuellt nätverk
Konfigurera peering för virtuella nätverk för att upprätta anslutning till en flexibel Azure Database for PostgreSQL-serverinstans från en virtuell Azure-dator (VM) i ett peer-kopplat virtuellt nätverk.
Ansluta från en virtuell Azure-dator i en nätverks-till-nätverk-miljö
Konfigurera en VPN-gatewayanslutning från nätverk till nätverk för att upprätta anslutning till en flexibel Azure Database for PostgreSQL-serverinstans från en virtuell Azure-dator i en annan region eller prenumeration.
Ansluta från en lokal miljö via VPN
Om du vill upprätta en anslutning från en lokal miljö till azure database for PostgreSQL– flexibel serverinstans väljer du och implementerar något av alternativen:
Nätverkssäkerhet och Private Link
När du använder privata slutpunkter skyddas trafiken till en privat länkresurs. Plattformen validerar nätverksanslutningar, vilket endast tillåter de anslutningar som når den angivna private-link-resursen. För att få åtkomst till fler underresurser inom samma Azure-tjänst krävs fler privata slutpunkter med motsvarande mål. För Azure Storage behöver du till exempel separata privata slutpunkter för att komma åt fil- och blobunderresurserna.
Privata slutpunkter tillhandahåller en privat tillgänglig IP-adress för Azure-tjänsten men begränsar inte nödvändigtvis åtkomsten till det offentliga nätverket. Alla andra Azure-tjänster kräver dock en annan åtkomstkontroll. De här kontrollerna ger dina resurser ett extra nätverkssäkerhetslager, vilket ger skydd som förhindrar åtkomst till Azure-tjänsten som är associerad med private-link-resursen.
Privata slutpunkter stöder nätverksprinciper. Nätverksprinciper möjliggör stöd för nätverkssäkerhetsgrupper (NSG: er), användardefinierade vägar (UDR) och programsäkerhetsgrupper (ASG). Mer information om hur du aktiverar nätverksprinciper för en privat slutpunkt finns i Hantera nätverksprinciper för privata slutpunkter. Information om hur du använder en ASG med en privat slutpunkt finns i Konfigurera en programsäkerhetsgrupp med en privat slutpunkt.
Private Link och DNS
När du använder en privat slutpunkt måste du ansluta till samma Azure-tjänst men använda IP-adressen för den privata slutpunkten. Den intima slutpunktsanslutningen kräver separata DNS-inställningar (Domain Name System) för att matcha den privata IP-adressen till resursnamnet.
Privat DNS zoner tillhandahåller domännamnsmatchning i ett virtuellt nätverk utan en anpassad DNS-lösning. Du länkar de privata DNS-zonerna till varje virtuellt nätverk för att tillhandahålla DNS-tjänster till nätverket.
Privat DNS zoner innehåller separata DNS-zonnamn för varje Azure-tjänst. Om du till exempel har konfigurerat en Privat DNS zon för lagringskontots blobtjänst i föregående bild är privatelink.blob.core.windows.netDNS-zonnamnet . Läs Microsoft-dokumentationen om du vill se fler av de privata DNS-zonnamnen för alla Azure-tjänster.
Kommentar
Privata slutpunkts- och privata DNS-zonkonfigurationer genereras automatiskt endast om du använder det rekommenderade namngivningsschemat: privatelink.postgres.database.azure.com.
På nyligen etablerade offentliga åtkomstservrar (inte integrerade virtuella nätverk) ändras DNS-layouten. Serverns fullständiga domännamn blir nu en CNAME-post i formatet servername.postgres.database.azure.com som pekar på en A-post i något av följande format:
- Om servern har en privat slutpunkt med en länkad standard privat DNS-zon använder A-posten följande format:
server_name.privatelink.postgres.database.azure.com. - Om servern inte har privata slutpunkter använder A-posten det här formatet
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
Hybrid-DNS för Azure och lokala resurser
DNS är en viktig designartikel i den övergripande arkitekturen för landningszoner. Vissa organisationer kanske vill använda sina befintliga investeringar i DNS. Andra kanske vill använda inbyggda Azure-funktioner för alla sina DNS-behov.
Du kan använda Azure DNS Private Resolver tillsammans med Azure Privat DNS-zoner för namnmatchning mellan platser. Dns Private Resolver kan vidarebefordra en DNS-begäran till en annan DNS-server och tillhandahåller även en IP-adress som kan användas av en extern DNS-server för att vidarebefordra begäranden. Externa lokala DNS-servrar kan därför lösa namn som finns i en privat DNS-zon.
Mer information om hur du använder DNS Private Resolver med en lokal DNS-vidarebefordrare för att vidarebefordra DNS-trafik till Azure DNS finns i:
- Dns-integrering för privat slutpunkt i Azure
- Skapa en privat DNS-infrastruktur för slutpunkter med Azure Private Resolver för en lokal arbetsbelastning
De beskrivna lösningarna utökar ett lokalt nätverk som redan har en DNS-lösning för att lösa resurser i Azure.Microsoft arkitekturen.
Private Link- och DNS-integrering i nav- och ekernätverksarkitekturer
Privat DNS zoner finns vanligtvis centralt i samma Azure-prenumeration där det virtuella hubbnätverket distribueras. Den här centrala värdpraxis drivs av övergripande DNS-namnlösning mellan platser och andra behov av central DNS-namnlösning, till exempel Microsoft Entra. I de flesta fall har endast nätverks- och identitetsadministratörer behörighet att hantera DNS-poster i zonerna.
I den här arkitekturen konfigureras följande komponenter:
- Lokala DNS-servrar har villkorliga vidarebefordrare konfigurerade för varje publik DNS-zon för privata slutpunkter, som pekar på den privata DNS-resolvern som finns i det virtuella hubbnätverket.
- Den privata DNS-resolvern som finns i det virtuella hubbnätverket använder den Azure-tillhandahållna DNS (168.63.129.16) som vidarebefordrare.
- Det virtuella navnätverket måste vara länkat till namnen på den privata DNS-zonen för Azure-tjänster (till exempel
privatelink.postgres.database.azure.com, för en flexibel Azure Database for PostgreSQL-serverinstans). - Alla virtuella Azure-nätverk använder Privat DNS Resolver som finns i det virtuella hubbnätverket.
- Den privata DNS-lösaren är inte auktoritativ för en kunds företagsdomäner eftersom den endast är en vidarebefordrare (till exempel Microsoft Entra-domännamn), den bör ha utgående slutpunktsvidarebefordrare till kundens företagsdomäner och peka på de lokala DNS-servrarna eller DNS-servrar som är distribuerade i Azure och är auktoritativa för sådana zoner.
Private Link och nätverkssäkerhetsgrupper
Som standard är nätverksprinciper inaktiverade för ett undernät i ett virtuellt nätverk. Om du vill använda nätverksprinciper som UDR och stöd för NSG:er måste du aktivera stöd för nätverksprinciper för undernätet. Den här inställningen gäller endast för privata slutpunkter i undernätet. Den här inställningen påverkar alla privata slutpunkter i undernätet. För andra resurser i undernätet styrs åtkomsten baserat på säkerhetsregler i NSG.
Du kan endast aktivera nätverksprinciper för NSG:er, endast för UDR eller för båda. Mer information finns i Hantera nätverksprinciper för privata slutpunkter.
Begränsningar för NSG:er och privata slutpunkter visas i Vad är en privat slutpunkt?.
Viktigt!
Skydd mot dataläckage: En privat slutpunkt mappas till en instans av en PaaS-resurs i stället för hela tjänsten. Konsumenter kan bara ansluta till den specifika resursen. Åtkomst till andra resurser i tjänsten blockeras. Den här mekanismen ger grundläggande skydd mot dataläckagerisker.
Private Link kombinerat med brandväggsregler
Följande situationer och resultat är möjliga när du använder Private Link i kombination med brandväggsregler:
Om du inte konfigurerar några brandväggsregler kan trafik som standard inte få åtkomst till Azure Database for PostgreSQL flexibel serverinstans.
Om du konfigurerar offentlig trafik eller en tjänstslutpunkt och skapar privata slutpunkter, auktoriseras olika typer av inkommande trafik av motsvarande typ av brandväggsregel.
Om du inte konfigurerar någon offentlig trafik eller tjänstslutpunkt och du skapar privata slutpunkter är Azure Database for PostgreSQL flexibel serverinstans endast tillgänglig via privata slutpunkter. Om du inte konfigurerar offentlig trafik eller en tjänstslutpunkt, och alla godkända privata slutpunkter därefter blir avvisade eller borttagna, kan ingen trafik komma åt Azure Database for PostgreSQL flexibel serverinstans.
Felsöka
När du använder Private Link-slutpunkter med en flexibel Azure Database for PostgreSQL-serverinstans kan anslutningsproblem uppstå på grund av felkonfigurationer eller nätverksbegränsningar. Om du vill felsöka dessa problem kontrollerar du konfigurationen av privata slutpunkter, DNS-konfigurationer, nätverkssäkerhetsgrupper (NSG:er) och routningstabeller. Genom att systematiskt åtgärda dessa områden kan du identifiera och lösa vanliga problem, säkerställa sömlös anslutning och säker åtkomst till din databas.
Anslutningsproblem med privata slutpunktsbaserade nätverk
Om du har anslutningsproblem när du använder privata slutpunktsbaserade nätverk kontrollerar du följande områden:
- Verifiera IP-adresstilldelningar: Kontrollera att den privata slutpunkten har rätt IP-adress tilldelad och att det inte finns några konflikter med andra resurser. Mer information om privata slutpunkter och IP-adresser finns i Hantera privata Azure-slutpunkter.
- Kontrollera NSG:er: Granska NSG-reglerna för den privata slutpunktens undernät för att säkerställa att nödvändig trafik tillåts och inte har motstridiga regler. Mer information om nätverkssäkerhetsgrupper finns i Nätverkssäkerhetsgrupper.
- Verifiera konfigurationen av routningstabellen: Kontrollera att routningstabellerna som är associerade med den privata slutpunktens undernät och de anslutna resurserna är korrekt konfigurerade med lämpliga vägar.
- Använd nätverksövervakning och diagnostik: Använd Azure Network Watcher för att övervaka och diagnostisera nätverkstrafik med hjälp av verktyg som Anslutningsövervakare eller Paketinsamling. Mer information om nätverksdiagnostik finns i Vad är Azure Network Watcher?.
Mer information om hur du felsöker privata slutpunkter finns också i Felsöka problem med anslutning till privata slutpunkter i Azure.
DNS-matchning med privata slutpunktsbaserade nätverk
Om du har DNS-lösningsproblem när du använder privata slutpunktsbaserade nätverk kontrollerar du följande områden:
- Verifiera DNS-matchning: Kontrollera om DNS-servern eller tjänsten som används av den privata slutpunkten och de anslutna resurserna fungerar korrekt. Kontrollera att dns-inställningarna för den privata slutpunkten är korrekta. Mer information om privata slutpunkter och DNS-zoninställningar finns i Azures privata slutpunkt Privat DNS zonvärden.
- Rensa DNS-cachen: Rensa DNS-cachen på den privata slutpunkten eller klientdatorn för att säkerställa att den senaste DNS-informationen hämtas och för att undvika inkonsekventa fel.
- Analysera DNS-loggar: Granska DNS-loggar för felmeddelanden eller ovanliga mönster, till exempel DNS-frågefel, serverfel eller tidsgränser. Mer information om DNS-mått finns i Azure DNS-mått och -aviseringar.
Begränsningar och överväganden
Privata slutpunkter kan bara konfigureras för servrar som skapats efter introduktionen av Private Link. Servrar som använder integrering av virtuella nätverk (VNet) är inte berättigade till konfiguration av privata slutpunkter.
Antalet privata slutpunkter begränsas inte av själva databastjänsten, utan snarare av begränsningar för Azure-nätverk – närmare bestämt antalet privata slutpunkter som kan matas in i ett visst undernät i ett VNet 3.
Virtuella datorer kan ansluta till databasen via privata slutpunkter, förutsatt att de är korrekt konfigurerade i samma virtuella nätverk eller har lämplig routning på plats.