添加专用终结点连接

使用 Azure 门户：

1. 选择 Azure Database for PostgreSQL 灵活服务器。

2. 在“资源”菜单中选择“网络”。

   

3. 如果具有部署专用终结点所需的权限，可以通过选择“ 创建专用终结点”来创建它。

   

4. 在“基本信息”页中，填写所需的所有详细信息。 然后选择“下一页: 资源”。

   

5. 使用下表了解“基本信息”页中的不同字段的含义，并作为填写此页面的指导：

   设置	建议值	描述
   订阅	选择要在其中创建资源的订阅的名称。 它会自动选择在其中部署服务器的订阅。	订阅是与 Microsoft 签订的协议，用于使用一个或多个 Microsoft 云平台或服务，并根据每用户许可证费用或云端资源消耗来计费。 如果您有多个订阅，请选择您希望为其资源计费的订阅。
   资源组	要在其中创建专用终结点的所选订阅中的资源组。 可以是现有的资源组，也可以选择“新建”，然后在该订阅中提供一个在现有资源组名称中唯一的名称。 它会自动选择在其中部署服务器的资源组。	“资源组”是用于保存 Azure 解决方案相关资源的容器。 资源组可以包含解决方案的所有资源，也可以只包含想要作为组来管理的资源。 根据对组织有利的原则，决定如何将资源分配到资源组。 通常可将共享相同生命周期的资源添加到同一资源组，以便将其作为一个组轻松部署、更新和删除。
   Name	要分配给专用终结点的名称。	用于标识专用终结点的唯一名称，可以通过该终结点连接到 Azure Database for PostgreSQL 灵活服务器。
   网络接口名称	要分配给与专用终结点关联的网络接口的名称。	用于标识与专用终结点关联的网络接口的唯一名称。
   区域	可以为 Azure Database for PostgreSQL 灵活服务器创建专用终结点的其中一个区域的名称。	选择的区域必须与计划在其中部署专用终结点的虚拟网络匹配。

6. 在“资源”页中，填写所需的所有详细信息。 然后选择“下一页: 虚拟网络”。

   

7. 使用下表了解“资源”页中的不同字段的含义，并作为填写此页面的指导：

   设置	建议值	描述
   资源类型	自动设置为 Microsoft.DBforPostgreSQL/flexibleServers	该值会自动为你选择，并对应于 Azure 专用链接视角中 Azure Database for PostgreSQL 灵活服务器的资源类型。
   资源	自动设置为要为其创建专用终结点的 Azure Database for PostgreSQL 灵活服务器的名称。	专用终结点连接到的资源的名称。
   目标子资源	自动设置为 postgresqlServer。	所选资源的子资源类型，你的专用终结点能够访问该资源。

8. 在“虚拟网络”页中，填写所需的所有详细信息。 然后，选择“下一页: DNS”。

   

9. 使用下表了解“虚拟网络”页中的不同字段的含义，并作为填写此页面的指导：

   设置	建议值	描述
   虚拟网络	自动设置为所选订阅和区域中可用的第一个虚拟网络（按字母顺序排序）。	仅列出你在当前所选订阅和区域中具有相关权限的虚拟网络。
   子网	自动设置为要为其创建专用终结点的 Azure Database for PostgreSQL 灵活服务器的名称。	仅列出当前选定的虚拟网络中的子网。
   专用终结点的网络策略	默认情况下，虚拟网络中的子网禁用网络策略。 可以仅为网络安全组启用网络策略，也可以仅为用户定义的路由启用网络策略或同时为两者启用网络策略。	若要使用网络策略（如用户定义的路由和网络安全组支持），必须为子网启用网络策略支持。 此设置仅适用于子网中的专用终结点，并影响子网中的所有专用终结点。 对于子网中的其他资源，将根据网络安全组的安全规则控制访问。 有关详细信息，请参阅管理专用终结点的网络策略。
   专用 IP 配置	自动设置为在分配给所选子网的范围内动态分配一个可用的 IP 地址。	此 IP 地址是分配给与专用终结点关联的网络接口的地址。 你可以从分配给所选子网的范围内动态分配该地址，也可以指定要分配的具体地址。 创建专用终结点后，无论你在创建时选择哪种分配模式，都无法更改其 IP 地址。
   应用程序安全组	默认情况下，未分配任何应用程序安全组。 你可以选择现有的，或者创建一个并进行分配。	使用应用程序安全组可将网络安全性配置为应用程序结构的固有扩展，从而可以基于这些组将虚拟机分组以及定义网络安全策略。 可以大量重复使用安全策略，而无需手动维护显式 IP 地址。 平台会处理显式 IP 地址和多个规则集存在的复杂性，让你专注于业务逻辑。 有关详细信息，请参阅应用程序安全组。

10. 在“DNS”页中，填写所需的所有详细信息。 然后，选择“下一页: 标签”。

    

11. 使用下表了解“DNS”页中的不同字段的含义，并作为填写此页面的指导：

    设置	建议值	描述
    与专用 DNS 区域集成	默认情况下启用。	如果希望将专用终结点集成到 Azure 专用 DNS 区域，请选择“是”；如果希望使用自己的 DNS 服务器，或希望使用主机文件来解析终结点的名称，以从计算机通过专用终结点进行连接，请选择“否”。 有关详细信息，请参阅专用终结点 DNS 配置。 如果配置专用 DNS 区域集成，专用 DNS 区域会自动链接到在其中创建专用终结点的虚拟网络。
    配置名称	自动为你设置为 privatelink-postgres-database-azure-com。	分配给与专用 DNS 区域关联的 DNS 配置的名称。
    订阅	选择要在其中创建专用 DNS 区域的订阅的名称。 它会自动选择在其中部署服务器的订阅。	订阅是与 Microsoft 签订的协议，用于使用一个或多个 Microsoft 云平台或服务，其费用根据每用户许可费或云资源消耗产生。 如果您有多个订阅，请选择您希望为该资源计费的订阅。
    资源组	要在其中创建专用 DNS 区域的所选订阅中的资源组。 必须是现有资源组。 它会自动选择在其中部署服务器的资源组。	“资源组”是用于保存 Azure 解决方案相关资源的容器。 资源组可以包含解决方案的所有资源，也可以只包含想要作为组来管理的资源。 根据对组织有利的原则，决定如何将资源分配到资源组。 通常可将共享相同生命周期的资源添加到同一资源组，以便将其作为一个组轻松部署、更新和删除。
    专用 DNS 区域	自动为你设置为 privatelink.postgres.database.azure.com。	此名称是分配给专用 DNS 区域资源的名称。

12. 在“标签”页中，填写所需的所有详细信息。 然后选择“下一页: 查看 + 创建”。

    

13. 使用下表了解“标记”页中的不同字段的含义，并作为填写此页面的指导：

    设置	建议值	描述
    Name	留空。	要分配给专用终结点和专用 DNS 区域的标签的名称（如果在“DNS”页面中选择了专用 DNS 区域集成）。
    值	留空。	要分配给具有指定名称的标记的值以及要分配给专用终结点和专用 DNS 区域的值（如果在“DNS”页中选择了专用 DNS 区域集成）。
    资源	默认保留。	可以选择要为其分配给定标记的资源。 它可以是专用终结点、专用 DNS 区域（如果在“DNS”页面中选择了专用 DNS 区域集成），或者这两者。

14. 在“查看 + 创建”页中，确保按所需方式配置所有内容。 然后选择“创建”。

    

15. 部署已启动，部署完成后会显示通知。

    

如果具有部署专用终结点以及批准与服务器的专用终结点连接所需的权限，则可以通过 az network private-endpoint create 命令创建专用终结点连接。

要创建专用终结点，并为其网络接口从所选子网范围内动态地分配一个 IP 地址：

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

若要创建专用终结点并为其网络接口分配一个从所选子网范围内静态分配的 IP 地址：

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --___location <___location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

如果你拥有所需权限，专用终结点连接应会自动获得批准。 如果是这种情况，以下命令的输出会将 status 显示为 Approved，并将 description 显示为 Auto-Approved：

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create 会创建一个 privatelink.postgres.database.azure.com 专用 DNS 区域（如果不存在）。 它会将专用 DNS 区域链接到在其中创建专用终结点的虚拟网络。 但是，它不会在专用终结点中创建 DNS 区域组。如果需要，你可以将专用终结点与专用 DNS 区域集成。 为此，

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.azure.com --zone-name privatelink-postgres-database-azure-com

如果尝试使用静态分配的专用 IP 地址创建专用终结点，并且指定的地址已被其他网络接口使用，则会出现以下错误：

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

如果尝试创建通过 --subscription 引用的专用终结点和虚拟网络，则 --resource-group 和 --vnet-name 参数不存在。 或者，如果虚拟网络存在，但部署它的区域与尝试部署专用终结点的区域不匹配，则会出现以下错误：

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

如果尝试创建专用终结点且已存在同名终结点，但为 --connection-name 或 --vnet-name 指定了其他值，则会出现以下错误：

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

如果尝试创建专用终结点且已存在同名终结点，但为 --subnet 指定了其他值，则会出现以下错误：

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

如果尝试创建专用终结点且已存在同名终结点，但为 --___location 指定了其他值，则会出现以下错误：

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in ___location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in ___location '<requested_location>'. Please select a new resource name.