Konfigurace zásad koncového bodu služby (Preview) pro spravovanou instanci Azure SQL

Platí pro:Azure SQL Managed Instance

Zásady koncového bodu služby Azure Storage pro virtuální síť umožňují filtrovat odchozí provoz virtuální sítě do služby Azure Storage, což omezuje přenosy dat do konkrétních účtů úložiště.

Možnost nakonfigurovat zásady koncového bodu a přidružit je ke službě SQL Managed Instance je v současné době ve verzi Preview.

Klíčové výhody

Konfigurace zásad koncového bodu služby Azure Storage pro virtuální síť pro spravovanou instanci Azure SQL nabízí následující výhody:

• Vylepšené zabezpečení provozu služby Azure SQL Managed Instance do služby Azure Storage: Zásady koncových bodů vytvářejí kontrolní prvek zabezpečení, který brání chybnému nebo škodlivému exfiltraci důležitých obchodních dat. Provoz může být omezený jenom na účty úložiště, které vyhovují vašim požadavkům na zásady správného řízení dat.

• Podrobná kontrola nad tím, ke kterým účtům úložiště je možné přistupovat: Zásady koncového bodu služby umožňují přenosy do účtů úložiště na úrovni předplatného, skupiny prostředků a jednotlivých účtů úložiště. Správci můžou pomocí zásad koncového bodu služby vynutit dodržování architektury zabezpečení dat organizace v Azure.

• Systémový provoz zůstává nedotčený: Zásady koncových bodů služby nikdy neoblokují přístup k úložišti, které je potřeba pro fungování služby Azure SQL Managed Instance. To zahrnuje ukládání záloh, datových souborů, souborů transakčních protokolů a dalších prostředků.

Důležité

Zásady koncových bodů služby řídí provoz, který pochází z podsítě služby SQL Managed Instance a ukončí se v úložišti Azure. Zásady nemají vliv například na export databáze do místního souboru BACPAC, integrace služby Azure Data Factory, shromažďování diagnostických informací prostřednictvím nastavení diagnostiky Azure nebo jiných mechanismů extrakce dat, které přímo cílí na Azure Storage.

Omezení

Povolení zásad koncových bodů služby pro spravovanou instanci Azure SQL má následující omezení:

• Když je ve verzi Preview, umístění zásad koncového bodu služby do podsítě ovlivní schopnost instancí v této podsíti provádět obnovení k určitému bodu v čase (PITR) z instance v jiné podsíti. Zásady koncového bodu služby ale nezabrání instancím v jiných podsítích v obnovování záloh z této podsítě.
• I když je tato funkce ve verzi Preview dostupná ve všech oblastech Azure, kde se podporuje sql Managed Instance s výjimkou Číny – východ 2, Čína – sever 2, USA – střed, EUAP – východ 2, US Gov Arizona, US Gov Texas, US Gov – Virginie a USA – středozápad.
• Tato funkce je dostupná pouze pro virtuální sítě nasazené pomocí modelu nasazení Azure Resource Manager.
• Tato funkce je dostupná jenom v podsítích s povolenými koncovými body služby pro Azure Storage.
• Přiřazení zásad koncového bodu služby ke koncovému bodu služby upgraduje koncový bod z oblasti na globální obor. Jinými slovy, veškerý provoz do služby Azure Storage bude procházet koncovým bodem služby bez ohledu na oblast, ve které se nachází účet úložiště.
• Povolení účtu úložiště automaticky povolí přístup k sekundárnímu úložišti RA-GRS.

Příprava inventáře úložiště

Než začnete konfigurovat zásady koncového bodu služby v podsíti, vytvořte seznam účtů úložiště, ke kterým by měla mít spravovaná instance přístup v této podsíti.

Následuje seznam pracovních postupů, které můžou kontaktovat Službu Azure Storage:

• Auditování do Služby Azure Storage
• Provedení zálohy jen pro kopírování do Služby Azure Storage
• Obnovení databáze ze služby Azure Storage
• Import dat pomocí funkce BULK INSERT nebo OPENROWSET(BULK ...).
• Protokolování rozšířených událostí do cíle souboru událostí ve službě Azure Storage
• Offline migrace Azure DMS do azure SQL Managed Instance
• Log Replay Service migration to Azure SQL Managed Instance.
• Synchronizace tabulek pomocí transakční replikace

Poznamenejte si název účtu, skupinu prostředků a předplatné pro každý účet úložiště, který se těchto účtů účastní, nebo jakékoli jiné pracovní postupy, které přistupují k úložišti.

Konfigurace zásad

Nejprve budete muset vytvořit zásadu koncového bodu služby a pak ji přidružit k podsíti služby SQL Managed Instance. Upravte pracovní postup v této části tak, aby vyhovoval potřebám vaší firmy.

Poznámka:

• Podsítě služby SQL Managed Instance vyžadují, aby zásady obsahovaly alias služby /Services/Azure/ManagedInstance (viz krok 5).
• Spravované instance nasazené do podsítě, která už obsahuje zásady koncového bodu služby, se automaticky upgradují alias služby /Services/Azure/ManagedInstance.

Vytvoření zásady koncového bodu služby

Pokud chcete vytvořit zásadu koncového bodu služby, postupujte takto:

1. Přihlaste se k portálu Azure Portal.

2. Vyberte + Vytvořit prostředek.

3. V podokně hledání zadejte zásady koncového bodu služby, vyberte Zásady koncového bodu služby a pak vyberte Vytvořit.

   

4. Na stránce Základy vyplňte následující hodnoty:

   • Předplatné: V rozevíracím seznamu vyberte předplatné pro vaši zásadu.
   • Skupina prostředků: Vyberte skupinu prostředků, ve které se nachází vaše spravovaná instance, nebo vyberte Vytvořit novou a vyplňte název nové skupiny prostředků.
   • Název: Zadejte název zásady, například mySEP.
   • Umístění: Vyberte oblast virtuální sítě hostující spravovanou instanci.

   

5. V definicích zásad vyberte Přidat alias a do podokna Přidat alias zadejte následující informace:

   • Alias služby: Vyberte /Services/Azure/ManagedInstance.
   • Výběrem možnosti Přidat dokončete přidání aliasu služby.

   

6. V definicích zásad vyberte + Přidat v části Prostředky a zadejte nebo vyberte následující informace v podokně Přidat prostředek :

   • Služba: Vyberte Microsoft.Storage.
   • Rozsah: Vyberte všechny účty v předplatném.
   • Předplatné: Vyberte předplatné obsahující účty úložiště, které chcete povolit. Projděte si inventář účtů úložiště Azure vytvořených dříve.
   • Výběrem možnosti Přidat dokončíte přidání prostředku.
   • Tento krok opakujte a přidejte další předplatná.

   

7. Volitelné: Značky v zásadách koncového bodu služby můžete nakonfigurovat v části Značky.

8. Vyberte Zkontrolovat a vytvořit. Ověřte informace a vyberte Vytvořit. Pokud chcete provést další úpravy, vyberte Předchozí.

Zpropitné

Nejprve nakonfigurujte zásady tak, aby umožňovaly přístup k celým předplatným. Ověřte konfiguraci tím, že zajistíte, aby všechny pracovní postupy fungovaly normálně. Volitelně můžete zásady překonfigurovat tak, aby povolily jednotlivé účty úložiště nebo účty ve skupině prostředků. Uděláte to tak, že vyberete Jeden účet nebo Všechny účty ve skupině prostředků v poli Obor: a odpovídajícím způsobem vyplníte ostatní pole.

Přidružení zásad k podsíti

Po vytvoření zásady koncového bodu služby přidružte zásadu k podsíti služby SQL Managed Instance.

Pokud chcete přidružit zásadu, postupujte takto:

1. V poli Všechny služby na webu Azure Portal vyhledejte virtuální sítě. Vyberte Virtuální sítě.

2. Vyhledejte a vyberte virtuální síť hostující spravovanou instanci.

3. Vyberte podsítě a zvolte podsíť vyhrazenou pro vaši spravovanou instanci. Do podokna podsítě zadejte následující informace:

   • Služby: Vyberte Microsoft.Storage. Pokud je toto pole prázdné, musíte v této podsíti nakonfigurovat koncový bod služby pro Službu Azure Storage.
   • Zásady koncového bodu služby: Vyberte všechny zásady koncového bodu služby, které chcete použít pro podsíť služby SQL Managed Instance.

   

4. Výběrem možnosti Uložit dokončete konfiguraci virtuální sítě.

Upozornění

Pokud zásady v této podsíti nemají /Services/Azure/ManagedInstance alias, může se zobrazit následující chyba: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Pokud chcete tento problém vyřešit, aktualizujte všechny zásady v podsíti tak, aby zahrnovaly /Services/Azure/ManagedInstance alias.

Další kroky

• Přečtěte si další informace o zabezpečení účtů Azure Storage.
• Přečtěte si o možnostech zabezpečení služby SQL Managed Instance.
• Prozkoumejte architekturu připojení spravované instance SQL.