我正在设置 Azure PostgreSQL 数据库,出于安全目的,我希望将对 PostgreSQL 数据库的访问限制在我的本地 LAN 中。因此,我设置了一个从 Azure 到我的 pfsense 本地的 S2S VPN,并在 postgre 上启用了服务端点。VPN 没问题,因为我在 Azure 上有一个装有 ubuntu 的虚拟机,我可以使用私有 IP 地址访问这些 VPN,但我不知道如何通过 VPN 访问 postgre。我读过这些https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-service-endpoints-overview#securing-azure-services-to-virtual-networks但我不太清楚...据我所知,S2S VPN 不能用于访问 postgre?我必须使用 postgre 的公共 IP 地址吗?
答案1
没错,您无法通过 VPN 访问连接到 vNET 的服务端点。有一个关于此问题的反馈请求。
因此,您可以在 PostgreSQL 防火墙中将自己的公共 IP 列入白名单以“保护”连接,或者可以使用 Expressroute 而不是 VPN:
https://docs.microsoft.com/nb-no/azure/virtual-network/virtual-network-service-endpoints-overview
默认情况下,无法从本地网络访问受虚拟网络保护的 Azure 服务资源。如果要允许来自本地的流量,还必须允许来自本地或 ExpressRoute 的公共(通常为 NAT)IP 地址。可以通过 Azure 服务资源的 IP 防火墙配置添加这些 IP 地址。