Sdílet prostřednictvím

Kurz: Připojení k serveru Azure SQL pomocí privátního koncového bodu Azure pomocí webu Azure Portal

  • Článek

Privátní koncový bod Azure je základním stavebním blokem služby Private Link v Azure. Umožňuje prostředkům Azure, jako jsou virtuální počítače, soukromě a bezpečně komunikovat s prostředky Private Linku, jako je Azure SQL Server.

Diagram prostředků vytvořených v rychlém startu privátního koncového bodu

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť a hostitele bastionu.
  • Vytvoří virtuální počítač.
  • Vytvořte azure SQL Server a privátní koncový bod.
  • Otestujte připojení k privátnímu koncovému bodu SQL Serveru.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Požadavky

  • Předplatné Azure

Přihlášení k Azure

Přihlaste se k portálu Azure.

Vytvoření virtuální sítě a hostitele služby Azure Bastion

Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Služby Azure Bastion a hostitelem Bastionu:

  1. Na portálu vyhledejte a vyberte Virtuální sítě.

  2. Na stránce Virtuální sítě vyberte + Vytvořit.

  3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte test-rg .
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte vnet-1.
    Oblast Vyberte USA – východ 2.

    Snímek obrazovky s kartou Základy pro vytvoření virtuální sítě na webu Azure Portal

  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  5. V části Azure Bastion vyberte Povolit Azure Bastion.

    Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace najdete v tématu Co je Azure Bastion?.

    Poznámka:

    Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  6. V Azure Bastionu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Název hostitele služby Azure Bastion Zadejte bastion.
    Veřejná IP adresa služby Azure Bastion Vyberte Vytvořit veřejnou IP adresu.
    Do názvu zadejte public-ip-bastion .
    Vyberte OK.

    Snímek obrazovky s možnostmi pro povolení hostitele Služby Azure Bastion v rámci vytváření virtuální sítě na webu Azure Portal

  7. Výběrem možnosti Další přejděte na kartu IP adresy.

  8. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

  9. V části Upravit podsíť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Účel podsítě Ponechte výchozí hodnotu Výchozí.
    Název Zadejte podsíť-1.
    IPv4
    Rozsah adres IPv4 Ponechte výchozí hodnotu 10.0.0.0/16.
    Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0.
    Velikost Ponechte výchozí hodnotu /24 (256 adres).

    Snímek obrazovky s podrobnostmi o konfiguraci podsítě

  10. Zvolte Uložit.

  11. V dolní části okna vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Vytvoření testovacího virtuálního počítače

Následující postup vytvoří testovací virtuální počítač s názvem vm-1 ve virtuální síti.

  1. Na portálu vyhledejte a vyberte Virtuální počítače.

  2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

  3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Virtual machine name Zadejte vm-1.
    Oblast Vyberte USA – východ 2.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Image Vyberte Ubuntu Server 22.04 LTS - x64 Gen2.
    Architektura virtuálního počítače Ponechte výchozí hodnotu x64.
    Velikost Vyberte velikost.
    Účet správce
    Authentication type Vyberte heslo.
    Username Zadejte azureuser.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Vyberte Žádná.

  4. V horní části stránky vyberte kartu Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte vnet-1.
    Podsíť Vyberte podsíť 1 (10.0.0.0/24).
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Upřesnit.
    Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte nsg-1 .
    Ponechte zbytek ve výchozím nastavení a vyberte OK.

  6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a vyberte Vytvořit.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Vytvoření azure SQL Serveru a privátního koncového bodu

V této části vytvoříte SQL Server v Azure.

  1. Do vyhledávacího pole v horní části portálu zadejte SQL. Ve výsledcích hledání vyberte databáze SQL.

  2. V databázích SQL vyberte + Vytvořit.

  3. Na kartě Základy vytvoření služby SQL Database zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o databázi
    Název databáze Zadejte sql-db.
    Server Vyberte, že chcete vytvořit novou IP adresu.
    Do názvu serveru zadejte sql-server-1 (názvy serverů musí být jedinečné, nahraďte sql-server-1 jedinečnou hodnotou).
    V umístění vyberte USA – východ 2.
    Vyberte Použít ověřování SQL.
    Zadejte přihlašovací jméno a heslo správce serveru.
    Vyberte OK.
    Chcete používat elastický fond SQL? Vyberte možnost Ne.
    Prostředí úloh Ponechte výchozí hodnotu Production (Produkční).
    Redundance úložiště zálohování
    Redundance úložiště zálohování Vyberte místně redundantní úložiště zálohování.

  4. Vyberte Další: Sítě.

  5. Na kartě Sítě v části Vytvořit databázi SQL zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové připojení
    Metoda připojení Vyberte privátní koncový bod.
    Privátní koncové body
    Vyberte +Přidat privátní koncový bod.
    Vytvoření privátního koncového bodu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Umístění Vyberte USA – východ 2.
    Název Zadejte privátní koncový bod sql.
    Cílový podsourc Vyberte SqlServer.
    Sítě
    Virtuální síť Vyberte vnet-1.
    Podsíť Vyberte podsíť 1.
    integrace Privátní DNS
    Integrovat s privátní zónou DNS Vyberte Ano.
    Zóna privátního DNS Ponechte výchozí hodnotu privatelink.database.windows.net.

  6. Vyberte OK.

  7. Vyberte Zkontrolovat a vytvořit.

  8. Vyberte Vytvořit.

Důležité

Při přidávání připojení k privátnímu koncovému bodu není veřejné směrování na server Azure SQL ve výchozím nastavení blokované. Nastavení Odepření přístupu k veřejné síti v okně Brána firewall a virtuální sítě je ve výchozím nastavení nezaškrtnuté. Pokud chcete zakázat přístup k veřejné síti, ujistěte se, že je toto políčko zaškrtnuté.

Zakázání veřejného přístupu k logickému serveru Azure SQL

V tomto scénáři předpokládejme, že chcete zakázat veškerý veřejný přístup k serveru Azure SQL a povolit pouze připojení z vaší virtuální sítě.

  1. Do vyhledávacího pole v horní části portálu zadejte SQL Server. Ve výsledcích hledání vyberte SERVERY SQL .

  2. Vyberte sql-server-1.

  3. Na stránce Sítě vyberte kartu Veřejný přístup a pak vyberte Zakázat pro přístup k veřejné síti.

  4. Zvolte Uložit.

Testování připojení k privátnímu koncovému bodu

V této části použijete virtuální počítač, který jste vytvořili v předchozích krocích, a připojíte se k SQL Serveru přes privátní koncový bod.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte vm-1.

  3. V operacích vyberte Bastion.

  4. Zadejte uživatelské jméno a heslo virtuálního počítače.

  5. Vyberte Připojit.

  6. Pokud chcete ověřit překlad ip adres privátního koncového bodu, zadejte v okně terminálu následující příkaz:

    nslookup server-name.database.windows.net

    Zobrazí se zpráva podobná následujícímu příkladu. Vrácená IP adresa je privátní IP adresa privátního koncového bodu.

    Server:    127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
Name:sql-server-8675.privatelink.database.windows.net
Address: 10.1.0.4

  7. Nainstalujte nástroje příkazového řádku SQL Serveru z instalace nástrojů příkazového řádku SQL Serveru sqlcmd a bcp v Linuxu. Pokračujte dalšími kroky po dokončení instalace.

  8. Pomocí následujících příkazů se připojte k SQL Serveru, který jste vytvořili v předchozích krocích.

    • Nahraďte <správce> serveru uživatelským jménem správce, které jste zadali při vytváření SQL Serveru.

    • Nahraďte <heslo> správce heslem správce, které jste zadali při vytváření SERVERU SQL.

    • Nahraďte sql-server-1 názvem vašeho SQL serveru.

    sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'

  9. Po úspěšném přihlášení se zobrazí příkazový řádek SQL. Zadáním příkazu exit ukončete nástroj sqlcmd.

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

  1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

  3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

  4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste se naučili, jak vytvořit:

  • Virtuální síť a hostitel bastionu

  • Virtuální počítač.

  • Azure SQL Server s privátním koncovým bodem

Virtuální počítač jste použili k privátnímu a bezpečnému testování připojení k SQL Serveru přes privátní koncový bod.

Jako další krok vás může také zajímat webová aplikace se scénářem privátního připojení ke službě Azure SQL Database , která připojí webovou aplikaci mimo virtuální síť k privátnímu koncovému bodu databáze.

Webová aplikace s privátním připojením ke službě Azure SQL Database