Adición de conexiones de punto de conexión privado

Mediante Azure Portal:

1. Seleccione su servidor flexible de Azure Database for PostgreSQL.

2. En el menú de recursos, seleccione Redes.

   

3. Si tiene los permisos necesarios para implementar un punto de conexión privado, puede crearlo seleccionando Crear punto de conexión privado.

   

4. En la página Aspectos básicos , rellene todos los detalles necesarios. A continuación, seleccione Siguiente: Recurso.

   

5. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página Aspectos básicos, y como guía para rellenar la página:

   Configuración	Valor sugerido	Description
   Subscription	Seleccione el nombre de la suscripción en la que quiere crear el recurso. Selecciona automáticamente la suscripción en la que se implementa el servidor.	Una suscripción es un contrato con Microsoft para usar una o varias plataformas, o servicios en la nube de Microsoft, para los que se acumulan cargos en función de una cuota de licencia por usuario o del consumo de recursos basados en la nube. Si tiene varias suscripciones, elija aquella en la que quiere que se le facture el recurso.
   Grupo de recursos	El grupo de recursos de la suscripción seleccionada, en el que desea crear el punto de conexión privado. Puede ser un grupo de recursos existente, o puede seleccionar Crear nuevo, y proporcionar un nombre en esa suscripción que sea único entre los nombres de grupos de recursos existentes. Selecciona automáticamente el grupo de recursos en el que se implementa el servidor.	Un grupo de recursos es un contenedor que almacena los recursos relacionados con una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo los recursos que desea administrar como grupo. Decide cómo desea asignar recursos a grupos de recursos en función de lo que tenga más sentido para su organización. Por lo general, agregue recursos que compartan el mismo ciclo de vida al mismo grupo de recursos para que pueda implementarlos, actualizarlos y eliminarlos fácilmente como un grupo.
   Nombre	Nombre que desea asignar al punto de conexión privado.	Un nombre único que identifica el punto de conexión privado a través del cual puede conectarse al servidor flexible de Azure Database for PostgreSQL.
   Nombre de la interfaz de red	Nombre que desea asignar a la interfaz de red asociada al punto de conexión privado.	Nombre único que identifica la interfaz de red asociada al punto de conexión privado.
   Region	Nombre de una de las regiones en las que puede crear puntos de conexión privados para el servidor flexible de Azure Database for PostgreSQL.	La región que seleccione debe coincidir con la de la red virtual en la que planea implementar el punto de conexión privado.

6. En la página Recurso , rellene todos los detalles necesarios. A continuación, seleccione Siguiente: Red virtual.

   

7. Use la tabla siguiente para comprender el significado de los distintos campos disponibles en la página Recurso y como guía para rellenar la página:

   Configuración	Valor sugerido	Description
   Tipo de recurso	Establecer automáticamente en Microsoft.DBforPostgreSQL/flexibleServers	Este valor se elige automáticamente y corresponde al tipo de recurso que es un servidor flexible de Azure Database for PostgreSQL, a los ojos de Azure Private Link.
   Recurso	Se establecerá automáticamente en el nombre del servidor flexible de Azure Database para PostgreSQL para el cual está creando el punto de conexión privado.	Nombre del recurso al que se conecta el punto de conexión privado.
   Recurso secundario de destino	Se ajusta automáticamente a postgresqlServer.	Tipo de subrecurso del recurso seleccionado, al que el punto de conexión privado puede acceder.

8. En la página Red virtual , rellene todos los detalles necesarios. A continuación, seleccione Siguiente: DNS.

   

9. Use la tabla siguiente para comprender el significado de los distintos campos disponibles en la página Red virtual y como guía para rellenar la página:

   Configuración	Valor sugerido	Description
   Red virtual	Se establece automáticamente en la primera red virtual (ordenada alfabéticamente) disponible en la suscripción y región seleccionada.	Solo se muestran las redes virtuales en las que tiene permisos, en la suscripción y región actualmente seleccionadas.
   Subred	Se establece automáticamente en el nombre del servidor flexible de Azure Database for PostgreSQL para el cual está creando el punto de conexión privado.	Solo se muestran las subredes de la red virtual seleccionada actualmente.
   Directiva de red para los puntos de conexión privados	De forma predeterminada, las directivas de red están deshabilitadas para una subred de una red virtual. Solo puede habilitar directivas de red para grupos de seguridad de red, solo para rutas definidas por el usuario o para ambas.	Para usar directivas de red como rutas definidas por el usuario y compatibilidad con grupos de seguridad de red, la compatibilidad con directivas de red debe estar habilitada para la subred. Esta configuración solo se aplica a los puntos de conexión privados de la subred y afecta a todos los puntos de conexión privados de la subred. Para otros recursos de la subred, el acceso se controla en función de las reglas de seguridad del grupo de seguridad de red. Para obtener más información, consulte Administración de directivas de red para puntos de conexión privados.
   Configuración de IP privada	Se establece automáticamente para asignar dinámicamente una de las direcciones IP disponibles en el intervalo asignado a la subred seleccionada.	Esta dirección IP es la asignada a la interfaz de red asociada al punto de conexión privado. Se puede asignar dinámicamente desde el intervalo asignado a la subred seleccionada; o puedes decidir qué dirección específica quieres asignar a esta. Una vez creado el punto de conexión privado, no se puede cambiar su dirección IP, independientemente de cuál de los dos modos de asignación seleccione durante la creación.
   Grupo de seguridad de aplicaciones	No se asigna ningún grupo de seguridad de aplicaciones de forma predeterminada. Puede elegir uno existente o puede crear uno y asignarlo.	Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas. La plataforma controla la complejidad de las direcciones IP explícitas y varios conjuntos de reglas, lo que le permite centrarse en la lógica de negocios. Para más información, consulte Grupos de seguridad de aplicaciones.

10. En la página DNS , rellene todos los detalles necesarios. A continuación, seleccione Siguiente: Etiquetas.

    

11. Use la tabla siguiente para comprender el significado de los distintos campos disponibles en la página DNS y como guía para rellenar la página:

    Configuración	Valor sugerido	Description
    Integración con la zona DNS privada	Habilitado de forma predeterminada.	Seleccione Sí si desea que el punto de conexión privado se integre con una zona DNS privada de Azure o No si desea usar sus propios servidores DNS, o si desea resolver el nombre del punto de conexión mediante archivos host en las máquinas desde las que desea conectarse a través del punto de conexión privado. Para más información, consulte Configuración de DNS del punto de conexión privado. Si configura la integración de la zona DNS privada, la zona DNS privada se vincula automáticamente a la red virtual en la que se crea el punto de conexión privado.
    Nombre de configuración	Se establece automáticamente para usted en privatelink-postgres-database-azure-com.	Nombre asignado a la configuración dns que está asociada a la zona DNS privada.
    Subscription	Seleccione el nombre de la suscripción en la que desea crear la zona DNS privada. Selecciona automáticamente la suscripción en la que se implementa el servidor.	Una suscripción es un contrato con Microsoft para usar una o varias plataformas, o servicios en la nube de Microsoft, para los que se acumulan cargos en función de una cuota de licencia por usuario o del consumo de recursos basados en la nube. Si tiene varias suscripciones, elija aquella en la que quiere que se le facture el recurso.
    Grupo de recursos	El grupo de recursos de la suscripción seleccionada, en el que desea crear la zona DNS privada. Debe ser un grupo de recursos existente. Selecciona automáticamente el grupo de recursos en el que se implementa el servidor.	Un grupo de recursos es un contenedor que almacena los recursos relacionados con una solución de Azure. El grupo de recursos puede incluir todos los recursos de la solución o solo los recursos que desea administrar como grupo. Decide cómo desea asignar recursos a grupos de recursos en función de lo que tenga más sentido para su organización. Por lo general, agregue recursos que compartan el mismo ciclo de vida al mismo grupo de recursos para que pueda implementarlos, actualizarlos y eliminarlos fácilmente como un grupo.
    Zona DNS privada	Se establece automáticamente para usted en privatelink.postgres.database.azure.com.	Este nombre es el asignado al recurso de zona DNS privada.

12. En la página Etiquetas , rellene todos los detalles necesarios. A continuación, seleccione Siguiente: Revisar y crear.

    

13. Use la siguiente tabla para entender el significado de los diferentes campos disponibles en la página Etiquetas, y como guía para rellenar la página:

    Configuración	Valor sugerido	Description
    Nombre	Dejar vacío.	Nombre de la etiqueta que desea asignar al punto de conexión privado y a la zona DNS privada (si seleccionó la integración de la zona DNS privada en la página DNS ).
    Valor	Dejar vacío.	Valor que desea asignar a la etiqueta con el nombre especificado y que desea asignar a su punto de conexión privado y a la zona DNS privada (si seleccionó la integración de la zona DNS privada en la página DNS ).
    Recurso	Deje de forma predeterminada.	Puede seleccionar los recursos a los que desea asignar la etiqueta especificada. Puede ser el punto de conexión privado, la zona DNS privada (si seleccionó la integración de la zona DNS privada en la página DNS ), o ambas.

14. En la página Revisar y crear , asegúrese de que todo está configurado como desee. Seleccione Crear.

    

15. Se inicia una implementación y se ve una notificación cuando se completa la implementación.

    

Si tiene los permisos necesarios para implementar un punto de conexión privado y aprobar la conexión de punto de conexión privado al servidor, puede crear la conexión de punto de conexión privado mediante el comando az network private-endpoint create .

Para crear el punto de conexión privado y asignar a su interfaz de red una dirección IP asignada dinámicamente desde el intervalo asignado a la subred seleccionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

Para crear el punto de conexión privado y asignar a su interfaz de red una dirección IP asignada estáticamente desde el intervalo asignado a la subred seleccionada:

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

Si tenía los permisos necesarios, la conexión del endpoint privado debería aprobarse automáticamente. Si es así, la salida del comando siguiente se mostrará status como Approvedy description como Auto-Approved:

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create crea una privatelink.postgres.database.azure.com zona DNS privada, si no existe. Y vincula la zona DNS privada a la red virtual en la que se crea el punto de conexión privado. Sin embargo, no crea un grupo de zonas DNS en el punto de conexión privado Si lo desea, puede integrar el punto de conexión privado con una zona DNS privada. Para ello:

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

Si intenta crear el punto de conexión privado con una dirección IP privada asignada estáticamente y la dirección especificada ya la usa alguna otra interfaz de red, obtendrá el siguiente error:

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

Si intenta crear el punto de conexión privado y la red virtual a la que se hace referencia a través de los parámetros --subscription, --resource-group y --vnet-name, no existe. O bien, si la red virtual existe, pero la región en la que se implementa no coincide con la región en la que intenta implementar el punto de conexión privado, obtendrá el siguiente error:

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

Si intenta crear el punto de conexión privado y uno ya existe con el mismo nombre, pero especifica un valor diferente para --connection-name o para --vnet-name, obtendrá el siguiente error:

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

Si intenta crear el punto de conexión privado y uno ya existe con el mismo nombre, pero especifica un valor diferente para --subnet, obtendrá el siguiente error:

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

Si intenta crear el punto de conexión privado y uno ya existe con el mismo nombre, pero especifica un valor diferente para --location, obtendrá el siguiente error:

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.