添加专用终结点连接

使用 Azure 门户：

1. 选择 Azure Database for PostgreSQL 灵活服务器。

2. 在资源菜单中，选择“概述”。

   

3. 服务器的状态必须为 “就绪”，才能启用 “网络 ”菜单选项。

   

4. 如果服务器的状态未 就绪，则会禁用 “网络 ”选项。

   

5. 在资源菜单中选择“网络”。

   

6. 如果具有部署专用终结点所需的权限，可以通过选择“添加专用终结点”来创建专用终结点。

   

7. 在“基本信息”页中，填写所需的所有详细信息。 然后选择“下一页: 资源”。

   

8. 使用下表了解“基本信息”页中的不同字段的含义，并作为填写此页面的指导：

   展开表

   设置	建议值	DESCRIPTION
   订阅	选择要在其中创建资源的订阅的名称。 它会自动选择在其中部署服务器的订阅。	订阅是与 Microsoft 签订的协议，用于使用一个或多个 Microsoft 云平台或服务，其费用根据每用户许可证费或云资源的消耗情况产生。 如果你有多个订阅，请选择要计费的资源所在的订阅。
   资源组	要在其中创建专用终结点的所选订阅中的资源组。 可以是现有的资源组，也可以选择“新建”，然后在该订阅中提供一个在现有资源组名称中唯一的名称。 它会自动选择在其中部署服务器的资源组。	资源组是一个容器，用于保存 Azure 解决方案的相关资源。 资源组可以包含解决方案的所有资源，也可以只包含想要作为组来管理的资源。 根据对组织有利的原则，决定如何将资源分配到资源组。 通常可将共享相同生命周期的资源添加到同一资源组，以便将其作为一个组轻松部署、更新和删除。
   名称	要分配给专用终结点的名称。	用于标识专用终结点的唯一名称，可以通过该终结点连接到 Azure Database for PostgreSQL 灵活服务器。
   网络接口名称	要分配给与专用终结点关联的网络接口的名称。	用于标识与专用终结点关联的网络接口的唯一名称。
   区域	可以为 Azure Database for PostgreSQL 灵活服务器创建专用终结点的其中一个区域的名称。	选择的区域必须与计划在其中部署专用终结点的虚拟网络匹配。

9. 在“资源”页中，填写所需的所有详细信息。 然后选择“下一页: 虚拟网络”。

   

10. 使用下表了解“资源”页中的不同字段的含义，并作为填写此页面的指导：

    展开表

    设置	建议值	DESCRIPTION
    资源类型	自动设置为 Microsoft.DBforPostgreSQL/flexibleServers	该值会自动为你选择，并对应于 Azure 专用链接视角中 Azure Database for PostgreSQL 灵活服务器的资源类型。
    资源	自动设置为要为其创建专用终结点的 Azure Database for PostgreSQL 灵活服务器的名称。	专用终结点连接到的资源的名称。
    目标子资源	自动设置为 postgresqlServer。	你的专用终结点能够访问的所选资源的子资源类型。

11. 在“虚拟网络”页中，填写所需的所有详细信息。

    

12. 使用下表了解“虚拟网络”页中的不同字段的含义，并作为填写此页面的指导：

    展开表

    设置	建议值	DESCRIPTION
    虚拟网络	自动设置为所选订阅和区域中可用的第一个虚拟网络（按字母顺序排序）。	仅列出你在当前所选订阅和区域中具有相关权限的虚拟网络。
    子网	自动设置为要为其创建专用终结点的 Azure Database for PostgreSQL 灵活服务器的名称。	仅列出当前选定的虚拟网络中的子网。
    专用 IP 配置	自动设置为在分配给所选子网的范围内动态分配一个可用的 IP 地址。	此 IP 地址是分配给与专用终结点关联的网络接口的地址。 你可以从分配给所选子网的范围内动态分配该地址，也可以指定要分配的具体地址。 创建专用终结点后，无论你在创建时选择哪种分配模式，都无法更改其 IP 地址。
    与专用 DNS 区域集成	默认启用。	如果希望将专用终结点集成到 Azure 专用 DNS 区域，请选择“是”；如果希望使用自己的 DNS 服务器，或希望使用主机文件来解析终结点的名称，以从计算机通过专用终结点进行连接，请选择“否”。 有关详细信息，请参阅专用终结点 DNS 配置。 如果配置专用 DNS 区域集成，专用 DNS 区域会自动链接到在其中创建专用终结点的虚拟网络。
    配置名称	自动为你设置为 privatelink-postgres-database-chinacloudapi-cn。	分配给与专用 DNS 区域关联的 DNS 配置的名称。
    订阅	选择要在其中创建专用 DNS 区域的订阅的名称。 它会自动选择在其中部署服务器的订阅。	订阅是与 Microsoft 签订的协议，用于使用一个或多个 Microsoft 云平台或服务，其费用根据每用户许可证费或云资源的消耗情况产生。 如果你有多个订阅，请选择要计费的资源所在的订阅。
    资源组	要在其中创建专用 DNS 区域的所选订阅中的资源组。 必须是现有资源组。 它会自动选择在其中部署服务器的资源组。	资源组是一个容器，用于保存 Azure 解决方案的相关资源。 资源组可以包含解决方案的所有资源，也可以只包含想要作为组来管理的资源。 根据对组织有利的原则，决定如何将资源分配到资源组。 通常可将共享相同生命周期的资源添加到同一资源组，以便将其作为一个组轻松部署、更新和删除。
    专用 DNS 区域	自动为你设置为 privatelink.postgres.database.chinacloudapi.cn。	此名称是分配给专用 DNS 区域资源的名称。

13. 在“标签”页中，填写所需的所有详细信息。 然后选择“下一页: 查看 + 创建”。

    

14. 使用下表了解“标记”页中的不同字段的含义，并作为填写此页面的指导：

    展开表

    设置	建议值	DESCRIPTION
    名称	留空。	要分配给专用终结点和专用 DNS 区域的标签的名称（如果在“DNS”页面中选择了专用 DNS 区域集成）。
    值	留空。	要分配给具有指定名称的标记的值以及要分配给专用终结点和专用 DNS 区域的值（如果在“DNS”页中选择了专用 DNS 区域集成）。
    资源	默认保留。	可以选择要为其分配给定标记的资源。 它可以是专用终结点、专用 DNS 区域（如果在“DNS”页面中选择了专用 DNS 区域集成），或者这两者。

15. 在“查看 + 创建”页中，确保按所需方式配置所有内容。 然后选择 创建。

    

16. 部署已启动，部署完成后会显示通知。

    

如果具有部署专用终结点以及批准与服务器的专用终结点连接所需的权限，则可以通过 az network private-endpoint create 命令创建专用终结点连接。

要创建专用终结点并为其网络接口分配一个从所选子网范围内动态分配的 IP 地址：

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id sites --vnet-name <virtual_network>  

要创建专用终结点并为其网络接口分配一个从所选子网范围内静态分配的 IP 地址：

# Retrieve the resource identifier of the server to which you want to connect via the private endpoint
server_id=$(az postgres flexible-server show --resource-group <resource_group> --name <server> --query id --output tsv)
az network private-endpoint create --connection-name <connection> --name <private_endpoint> --private-connection-resource-id $server_id --resource-group <resource_group> --subnet <subnet> --group-id postgresqlServer --vnet-name <virtual_network> --location <location> --ip-config name=<ip_config> group-id=postgresqlServer member-name=postgresqlServer private-ip-address=<private_ip_address>

如果你拥有所需权限，专用终结点连接应会自动获得批准。 如果是这种情况，以下命令的输出会将 status 显示为 Approved，并将 description 显示为 Auto-Approved：

az network private-endpoint show --resource-group <resource_group> --name <private_endpoint> --query privateLinkServiceConnections[?name==\'<connection>\'].privateLinkServiceConnectionState

az network private-endpoint create 会创建一个 privatelink.postgres.database.chinacloudapi.cn 专用 DNS 区域（如果不存在）。 它会将专用 DNS 区域链接到在其中创建专用终结点的虚拟网络。 但是，它不会在专用终结点中创建 DNS 区域组。如果需要，你可以将专用终结点与专用 DNS 区域集成。 为此，

az network private-endpoint dns-zone-group create --resource-group <resource_group> --endpoint-name <endpoint> --name default --private-dns-zone privatelink.postgres.database.chinacloudapi.cn --zone-name privatelink-postgres-database-chinacloudapi-cn

如果尝试使用静态分配的专用 IP 地址创建专用终结点，并且指定的地址已被其他网络接口使用，则会出现以下错误：

Code: PrivateIPAddressIsAllocated
Message: IP configuration /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid> is using the private IP address <private_ip_address> which is already allocated to resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/networkInterfaces/<network_interface>.nic.<guid>/ipConfigurations/privateEndpointIpConfig.<guid>.

如果尝试创建通过 --subscription 引用的专用终结点和虚拟网络，则 --resource-group 和 --vnet-name 参数不存在。 或者，如果虚拟网络存在，但部署它的区域与尝试部署专用终结点的区域不匹配，则会出现以下错误：

Code: InvalidResourceReference
Message: Resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network> referenced by resource /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> was not found. Please make sure that the referenced resource exists, and that both resources are in the same region.

如果尝试创建专用终结点且已存在同名终结点，但为 --connection-name 或 --vnet-name 指定了其他值，则会出现以下错误：

Code: CannotChangePrivateLinkConnectionOnPrivateEndpoint
Message: Cannot change the private link connection on private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>. Please ensure you are not updating the details of existing private link connection: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint>/privateLinkServiceConnections/<connection>'. That is not allowed.

如果尝试创建专用终结点且已存在同名终结点，但为 --subnet 指定了其他值，则会出现以下错误：

Code: CannotChangeSubnetOnExistingPrivateEndpoint
Message: Cannot change the subnet in which the network interface for private endpoint /subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/privateEndpoints/<private_endpoint> is created. Current subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<current_subnet>.' Requested subnet: '/subscriptions/<subscription>/resourceGroups/<resource_group>/providers/Microsoft.Network/virtualNetworks/<virtual_network>/subnets/<requested_subnet>.'

如果尝试创建专用终结点且已存在同名终结点，但为 --location 指定了其他值，则会出现以下错误：

Code: InvalidResourceLocation
Message: The resource '<private_endpoint>' already exists in location '<current_location>' in resource group '<resource_group>'. A resource with the same name cannot be created in location '<requested_location>'. Please select a new resource name.