Database di Azure per PostgreSQL - Rete del server flessibile con collegamento privato
Il collegamento privato di Azure consente di creare endpoint privati per Database di Azure per PostgreSQL - Server flessibile al fine di portarlo all'interno della rete virtuale. Questa funzionalità viene introdotta in aggiunta alle capacità di rete già esistenti fornite dall'integrazione rete virtuale, attualmente in disponibilità generale con Database di Azure per PostgreSQL- Server flessibile.
Con il collegamento privato, il traffico tra la rete virtuale e il servizio attraversa la rete del backbone Microsoft. L'esposizione del servizio sulla rete Internet pubblica non è più necessaria. È possibile creare un servizio Collegamento privato personale nella rete virtuale e distribuirlo ai clienti. L'impostazione e il consumo tramite il collegamento privato sono coerenti tra i servizi Azure PaaS, quelli di proprietà del cliente e quelli condivisi dai partner.
Nota
I collegamenti privati sono disponibili solo per i server con accesso pubblico. Non possono essere creati per i server con accesso privato (integrazione della rete virtuale).
I collegamenti privati possono essere configurati solo per i server creati dopo il rilascio di questa funzionalità. Qualsiasi server esistente prima del rilascio della funzionalità non può essere impostato con collegamenti privati.
Il collegamento privato viene esposto agli utenti tramite due tipi di risorse di Azure:
- Endpoint privati (Microsoft.Network/PrivateEndpoints)
- Servizi di collegamento privato (Microsoft.Network/PrivateLinkServices)
Endpoint privati
L'endpoint privato aggiunge un'interfaccia di rete a una risorsa, fornendo un indirizzo IP privato assegnato dalla rete virtuale. Dopo l'applicazione, è possibile comunicare con questa risorsa esclusivamente tramite la rete virtuale. Per un elenco dei servizi PaaS che supportano la funzionalità Collegamento privato, esaminare la Documentazione sul Collegamento privato. Un endpoint privato è un indirizzo IP privato all'interno di una rete virtuale e di una subnet specifiche.
Alla stessa istanza del servizio pubblico può essere fatto riferimento da più endpoint privati in reti virtuali o subnet diverse, anche se hanno spazi indirizzi sovrapposti.
Vantaggi principali del collegamento privato
Il collegamento privato offre i vantaggi descritti di seguito:
- Accesso privato ai servizi nella piattaforma Azure: connettere la rete virtuale tramite endpoint privati a tutti i servizi che possono essere usati come componenti dell'applicazione in Azure. I provider di servizi possono eseguire il rendering dei servizi nella propria rete virtuale. Gli utenti possono accedere a tali servizi nella rete virtuale locale. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure.
- Reti locali e con peering: accedere ai servizi in esecuzione in Azure dall'ambiente locale tramite peering privato Azure ExpressRoute, tunnel (VPN) e reti virtuali con peering usando endpoint privati. Non è necessario configurare il peering Microsoft ExpressRoute o attraversare Internet per raggiungere il servizio. Collegamento privato offre un modo sicuro per eseguire la migrazione dei carichi di lavoro ad Azure.
- Protezione contro la perdita di dati: nel diagramma seguente viene eseguito il mapping di un endpoint privato a un'istanza di una risorsa PaaS anziché all'intero servizio. Gli utenti possono connettersi solo alla risorsa specifica. L'accesso a qualsiasi altra risorsa del servizio è bloccato. Questo meccanismo offre protezione dai rischi di perdita dei dati.
- Copertura globale: connettersi privatamente ai servizi in esecuzione in altre aree: la rete virtuale dell’utente potrebbe trovarsi nell'area A. Può connettersi ai servizi dietro collegamento privato nell'area B.
Use Case di Database di Azure per PostgreSQL - Server flessibile
I client possono connettersi all'endpoint privato da:
- La stessa rete virtuale.
- Una rete virtuale con peering nella stessa area o tra aree.
- Una connessione da rete a rete tra aree.
I client possono anche connettersi in locale usando ExpressRoute, il peering privato o il tunneling VPN. Il seguente diagramma semplificato illustra i casi d'uso comuni.
Limitazioni e caratteristiche supportate per il collegamento privato per Database di Azure per PostgreSQL - Server flessibile
Ecco una matrice di disponibilità tra funzionalità per gli endpoint privati in Database di Azure per PostgreSQL - Server flessibile.
| Funzionalità | Disponibilità | Note |
|---|---|---|
| Disponibilità elevata | Sì | Funziona come previsto. |
| Replica in lettura | Sì | Funziona come previsto. |
| Eseguire la lettura della replica con endpoint virtuali | Sì | Funziona come previsto. |
| Ripristino temporizzato | Sì | Funziona come previsto. |
| Consentire anche l'accesso pubblico/Internet con regole del firewall | Sì | Funziona come previsto. |
| Aggiornamento della versione principale | Sì | Funziona come previsto. |
| Autenticazione Microsoft Entra | Sì | Funziona come previsto. |
| Pool di connessioni con PgBouncer | Sì | Funziona come previsto. |
| DNS dell'endpoint privato | Sì | Funziona come progettato e documentato. |
| Crittografia con chiavi gestite dal cliente | Sì | Funziona come previsto. |
Connettersi da una macchina virtuale di Azure in una rete virtuale con peering
Configurare il peering della rete virtuale per stabilire la connettività a Database di Azure per PostgreSQL - Server flessibile da una macchina virtuale (VM) di Azure in una rete virtuale con peering.
Connettersi da una VM di Azure nell'ambiente da rete a rete
Configurare la connessione gateway VPN da rete a rete per stabilire la connettività a un Database di Azure per PostgreSQL - Server flessibile da una VM di Azure in un'area o in una sottoscrizione diversa.
Connettersi da un ambiente locale tramite VPN
Per stabilire la connettività da un ambiente locale al Database di Azure per PostgreSQL - Server flessibile, scegliere e implementare una delle opzioni seguenti:
Sicurezza di rete e collegamento privato
Quando si usano gli endpoint privati, il traffico viene protetto in una risorsa collegamento privato. La piattaforma convalida le connessioni di rete, consentendo solo le connessioni che raggiungono la risorsa collegamento privato specificata. Per accedere a più sottorisorse all'interno dello stesso servizio di Azure, sono necessari più endpoint privati con destinazioni corrispondenti. Nel caso di Archiviazione di Azure, ad esempio, è necessario separare gli endpoint privati per accedere alle sottorisorse file e BLOB.
Gli endpoint privati forniscono un indirizzo IP accessibile privatamente per il servizio di Azure, ma non ne limitano necessariamente l'accesso dalla rete pubblica. Tutti gli altri servizi di Azure richiedono tuttavia un altro controllo di accesso. Questi controlli forniscono alle risorse un livello di sicurezza di rete aggiuntivo, offrendo protezione per impedire l'accesso al servizio di Azure associato alla risorsa collegamento privato.
Gli endpoint privati supportano i criteri di rete. I criteri di rete consentono il supporto per i gruppi di sicurezza di rete (NSG), il percorsi definiti definite dall'utente (UDR) e i gruppi di sicurezza delle applicazioni (ASG). Per altre informazioni sull'abilitazione dei criteri di rete per un endpoint privato, vedere Gestire i criteri di rete per gli endpoint privati. Per usare un ASG con un endpoint privato, vedere Configurare un gruppo di sicurezza delle applicazioni con un endpoint privato.
Collegamento privato e DNS
Quando si usa un endpoint privato, è necessario connettersi allo stesso servizio di Azure, ma usare l'indirizzo IP dell'endpoint privato. La connessione endpoint intima richiede impostazioni Domain Name System (DNS ) separate per risolvere l'indirizzo IP privato nel nome della risorsa.
Le zone DNS privato forniscono la risoluzione dei nomi di dominio all'interno di una rete virtuale senza una soluzione DNS personalizzata. Le zone DNS privato vengono collegate a ogni rete virtuale per fornire servizi DNS a tale rete.
Le zone DNS privato forniscono nomi di zona DNS separati per ogni servizio di Azure. Ad esempio, se è stata configurata una zona DNS privato per il servizio BLOB dell'account di archiviazione nell'immagine precedente, il nome della zona DNS è privatelink.blob.core.windows.net. Per altre informazioni sui nomi delle zone DNS privato per tutti i servizi di Azure, vedere la documentazione Microsoft.
Nota
Le configurazioni della zona DNS privato dell'endpoint privato verranno generate automaticamente solo se si usa lo schema di denominazione: privatelink.postgres.database.azure.com.
Nei server di accesso pubblico di cui è stato appena effettuato il provisioning (non inserito nella rete virtuale), si verificherà una modifica del layout DNS. L'FQDN del server diventa ora un record CName nel formato servername.postgres.database.azure.com che punterà a un record A in uno dei formati seguenti:
- Se il server dispone di un endpoint privato con una zona DNS privato predefinita collegata, il record A sarà nel formato seguente:
server_name.privatelink.postgres.database.azure.com. - Se il server non dispone di endpoint privati, il record A sarà in questo formato
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
DNS ibrido per le risorse locali e di Azure
Il DNS è un argomento di progettazione fondamentale nell'architettura generale delle zone di destinazione. Alcune organizzazioni possono ritenere opportuno usare gli investimenti esistenti in DNS, Altri utenti potrebbero voler adottare capacità native di Azure per tutte le esigenze DNS.
È possibile usare un Resolver privato DNS di Azure in combinazione con le zone DNS privato di Azure per la risoluzione dei nomi cross-premise. Il resolver privato DNS può inoltrare una richiesta DNS a un altro server DNS e fornisce anche un indirizzo IP che può essere usato da un server DNS esterno per inoltrare le richieste. I server DNS locali esterni sono quindi in grado di risolvere i nomi che si trovano in una zona DNS privato.
Per altre informazioni sull'uso del resolver privato DNS con un forwarder DNS locale per inoltrare il traffico DNS a DNS di Azure, vedere:
- Integrazione DNS dell'endpoint privato di Azure
- Creare un'infrastruttura DNS dell'endpoint privato con il Resolver privato di Azure per un carico di lavoro locale
Le soluzioni descritte estendono una rete locale che dispone già di una soluzione DNS per risolvere le risorse nell'architettura Azure.Microsoft.
Integrazione del collegamento privato e DNS nelle architetture di rete hub-e-spoke
Le zone DNS privato sono in genere ospitate centralmente nella stessa sottoscrizione di Azure in cui viene implementata la rete virtuale dell'hub. Questa procedura di hosting centralizzato è basata sulla risoluzione dei nomi DNS cross-premise e su altre esigenze per la risoluzione DNS centralizzata, ad esempio Microsoft Entra. Nella maggior parte dei casi, solo gli amministratori di rete e identità hanno le autorizzazioni per gestire i record DNS in queste zone.
In tale architettura sono configurati i componenti seguenti:
- I server DNS locali hanno forwarder condizionali configurati per ogni zona DNS pubblica dell'endpoint privato, che puntano al resolver DNS privato ospitato nella rete virtuale dell'hub.
- Il resolver DNS privato ospitato nella rete virtuale hub usa il DNS fornito da Azure (168.63.129.16) come forwarder.
- La rete virtuale hub deve essere collegata ai nomi di zona DNS privato per i servizi di Azure, (ad esempio
privatelink.postgres.database.azure.com, per Database di Azure per PostgreSQL - Server flessibile). - Tutte le reti virtuali di Azure usano resolver DNS privati ospitati nella rete virtuale hub.
- Il resolver DNS privato non è autorevole per i domini aziendali del cliente perché è solo un forwarder (ad esempio, i nomi di dominio Microsoft Entra), ma dovrebbe avere dei forwarder endpoint in uscita verso i domini aziendali del cliente, che puntano ai server DNS locali o ai server DNS distribuiti in Azure che sono autorevoli per tali zone.
Collegamento privato e gruppi di sicurezza di rete
Per impostazione predefinita, i criteri di rete sono disabilitati per una subnet in una rete virtuale. Usare criteri di rete come le UDR e il supporto degli NSG, è necessario abilitare il supporto dei criteri di rete per la subnet. Questa impostazione è applicabile solo agli endpoint privati all'interno della subnet. Questa impostazione influisce su tutti gli endpoint privati all'interno della subnet. Per le altre risorse nella subnet, l'accesso viene controllato in base alla definizione delle regole di sicurezza nell’NSG.
È possibile abilitare i criteri di rete solo per gli NSG, solo per le UDR o per entrambi. Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati.
Le limitazioni agli NSG e agli endpoint privati sono elencate in Che cos'è un endpoint privato?
Importante
Protezione contro la perdita di dati: nel diagramma seguente viene eseguito il mapping di un endpoint privato a un'istanza di una risorsa PaaS anziché all'intero servizio. Gli utenti possono connettersi solo alla risorsa specifica. L'accesso a qualsiasi altra risorsa del servizio è bloccato. Questo meccanismo offre protezione base dai rischi di perdita dei dati.
Collegamento privato combinato con le regole del firewall
Quando si usa il collegamento privato in combinazione con le regole del firewall, sono possibili le situazioni e i risultati seguenti:
Se non si configurano regole del firewall, non sarà possibile accedere al Database di Azure per PostgreSQL - Server flessibile per impostazione predefinita.
Se si configura il traffico pubblico o un endpoint di servizio e si creano endpoint privati, i diversi tipi di traffico in ingresso saranno autorizzati in base al tipo corrispondente di regola del firewall.
Se non si configura nessun traffico pubblico o endpoint di servizio e si creano endpoint privati, il Database di Azure per PostgreSQL - Server flessibile sarà accessibile solo tramite gli endpoint privati. Se non si configura il traffico pubblico o un endpoint di servizio, dopo che tutti gli endpoint privati approvati vengono rifiutati o eliminati, non sarà possibile accedere al Database di Azure per PostgreSQL - Server flessibile.
Risolvere i problemi di connettività con la rete basata su endpoint privato
Se si verificano problemi di connettività quando si usa la rete privata basata su endpoint, controllare le aree seguenti:
- Verificare le assegnazioni di indirizzi IP: verificare che all'endpoint privato sia assegnato l'indirizzo IP corretto e che non siano presenti conflitti con altre risorse. Per altre informazioni su endpoint privati e IP, vedere Gestire gli endpoint privati di Azure.
- Controllare gli NSG: esaminare le regole dell’NSG per la subnet dell'endpoint privato per assicurarsi che il traffico necessario sia consentito e non abbia regole in conflitto. Per altre informazioni sugli NSG, vedere Gruppi di sicurezza di rete.
- Convalidare la configurazione della tabella di percorso: assicurarsi che le tabelle di percorso associate alla subnet dell'endpoint privato e le risorse connesse siano configurate correttamente con i percorsi appropriati.
- Usare il monitoraggio e la diagnostica di rete: usare Azure Network Watcher per monitorare e diagnosticare il traffico di rete usando strumenti come Monitoraggio connessione o Acquisizione pacchetti. Per altre informazioni sulla diagnostica di rete, vedere Che cos'è Azure Network Watcher?
Altre informazioni sulla risoluzione dei problemi relativi agli endpoint privati sono disponibili anche in Risolvere i problemi di connettività degli endpoint privati di Azure.
Risolvere i problemi relativi alla risoluzione DNS con la rete basata su endpoint privato
Se si verificano problemi di risoluzione DNS quando si usa la rete basata su endpoint privato, verificare le aree seguenti:
- Convalidare la risoluzione DNS: verificare se il server DNS o il servizio usato dall'endpoint privato e le risorse connesse funzionino correttamente. Assicurarsi che le impostazioni DNS dell'endpoint privato siano accurate. Per altre informazioni sugli endpoint privati e sulle impostazioni della zona DNS, vedere Endpoint privato di Azure Valori della zona DNS privata.
- Eliminare la cache DNS: eliminare la cache DNS nell'endpoint privato o nel computer client per assicurarsi che vengano recuperate le informazioni DNS più recenti e per evitare errori incoerenti.
- Analizzare i log DNS: esaminare i log DNS per individuare messaggi di errore o modelli insoliti, ad esempio errori di query DNS, errori del server o timeout. Per altre informazioni sulle metriche DNS, vedere Metriche e avvisi del DNS di Azure.
Contenuto correlato
Informazioni su come creare un'istanza del server flessibile di Database di Azure per PostgreSQL usando l'opzione Accesso privato(integrazione rete virtuale) nel portale di Azure o nell’interfaccia della riga di comando di Azure.