Kurz: Přístup k místnímu SQL Serveru ze spravované virtuální sítě služby Data Factory s využitím privátního koncového bodu
Tento kurz obsahuje postup použití webu Azure Portal k nastavení služby Private Link a přístupu k místnímu SQL Serveru ze spravované virtuální sítě pomocí privátního koncového bodu. Použití spravované virtuální sítě zajišťuje, že provoz do a z místního zdroje SQL bude projít vaším vlastním privátním koncovým bodem, čímž se zajistí ohrožení veřejného cloudu další vrstvou zabezpečení a izolace. Pro podporu scénáře jsou nezbytné požadované prostředky uvedené níže.
Poznámka:
Řešení uvedené v tomto článku popisuje připojení k SQL Serveru, ale podobný přístup můžete použít k připojení a dotazování dalších dostupných místních konektorů podporovaných ve službě Azure Data Factory.
Požadavky
- Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
- Virtuální síť. Pokud nemáte virtuální síť, vytvořte jednu z následujících možností Vytvořit virtuální síť.
- Virtuální síť do místní sítě. Vytvořte připojení mezi virtuální sítí a místní sítí pomocí ExpressRoute nebo VPN. Pokud dáváte přednost použití cloudového virtuálního počítače v privátní síti, můžete to udělat i vy. Stačí vytvořit virtuální síť pro cloudové virtuální počítače a privátní propojení s virtuální sítí a můžete k nim přistupovat, jako by šlo o místní počítače ve vaší privátní síti, i když jsou hostované v cloudu.
- Data Factory s povolenou spravovanou virtuální sítí Pokud nemáte datovou továrnu nebo spravovanou virtuální síť není povolená, vytvořte jednu z následujících možností Vytvoření služby Data Factory se spravovanou virtuální sítí.
Vytváření podsítí pro prostředky
Pomocí portálu vytvořte podsítě ve vaší virtuální síti.
| Podsíť | Popis |
|---|---|
| be-subnet | podsíť pro back-endové servery |
| podsíť fe-subnet | podsíť pro interní nástroj pro vyrovnávání zatížení úrovně Standard |
| pls-subnet | podsíť pro službu Private Link |
Vytvoření standardního nástroje pro vyrovnávání zatížení
Pomocí portálu vytvořte standardní interní nástroj pro vyrovnávání zatížení.
V levém horním rohu obrazovky vyberte Vytvořit nástroj pro vyrovnávání zatížení sítě>.>
Na kartě Základy na stránce Vytvořit nástroj pro vyrovnávání zatížení zadejte nebo vyberte následující informace:
Nastavení Hodnota Předplatné Vyberte své předplatné. Skupina prostředků Vyberte skupinu prostředků. Název Zadejte myLoadBalancer. Oblast Vyberte USA – východ. Typ Vyberte Interní. Skladová jednotka (SKU) Vyberte položku Standardní. Virtuální síť Vyberte svou virtuální síť. Podsíť Vyberte podsíť fe vytvořenou v předchozím kroku. Přiřazení IP adres Vyberte Dynamické. Availability zone Vyberte zónově redundantní. Přijměte výchozí hodnoty pro zbývající nastavení a pak vyberte Zkontrolovat a vytvořit.
Na kartě Revize a vytvoření vyberte Vytvořit.
Vytvoření prostředků nástroje pro vyrovnávání zatížení
Vytvoření back-endového fondu
Back-endový fond adres obsahuje IP adresy virtuálních síťových karet připojených k nástroji pro vyrovnávání zatížení.
Vytvořte back-endový fond adres myBackendPool pro zahrnutí virtuálních počítačů pro vyrovnávání zatížení internetového provozu.
- V nabídce vlevo vyberte Všechny služby , vyberte Všechny prostředky a pak v seznamu prostředků vyberte myLoadBalancer .
- V části Nastavení vyberte Back-endové fondy a pak vyberte Přidat.
- Na stránce Přidat back-endový fond zadejte jako název back-endového fondu název myBackendPool a pak vyberte Přidat.
Vytvoření sondy stavu
Nástroj pro vyrovnávání zatížení monitoruje stav aplikace pomocí sondy stavu.
Sonda stavu přidá nebo odebere virtuální počítače z nástroje pro vyrovnávání zatížení na základě jejich reakce na kontroly stavu.
Vytvořte sondu stavu s názvem myHealthProbe, abyste mohli monitorovat stav virtuálních počítačů.
V nabídce vlevo vyberte Všechny služby , vyberte Všechny prostředky a pak v seznamu prostředků vyberte myLoadBalancer .
V části Nastavení vyberte Sondy stavu a pak vyberte Přidat.
Nastavení Hodnota Name Zadejte myHealthProbe. Protokol Vyberte TCP. Port Zadejte 22. Interval Zadejte 15 pro počet intervalů v sekundách mezi pokusy o sondu. Prahová hodnota pro poškozený stav Vyberte 2 pro počet chybných prahových hodnot nebo po sobě jdoucích selhání sond, ke kterým musí dojít, než bude virtuální počítač považován za poškozený. Ponechte zbývající výchozí hodnoty a vyberte OK.
Vytvoření pravidla nástroje pro vyrovnávání zatížení
Pravidlo nástroje pro vyrovnávání zatížení slouží k definování způsobu distribuce provozu do virtuálních počítačů. Definujete konfiguraci front-endové IP adresy pro příchozí provoz a back-endový fond IP adres pro příjem provozu. Zdrojový a cílový port se definuje v pravidle.
V této části vytvoříte pravidlo nástroje pro vyrovnávání zatížení:
V nabídce vlevo vyberte Všechny služby , vyberte Všechny prostředky a pak v seznamu prostředků vyberte myLoadBalancer .
V části Nastavení vyberte Pravidla vyrovnávání zatížení a pak vyberte Přidat.
Ke konfiguraci pravidla vyrovnávání zatížení použijte tyto hodnoty:
Nastavení Hodnota Name Zadejte můj příkaz. Verze protokolu IP Vyberte IPv4. Front-endová IP adresa Vyberte LoadBalancerFrontEnd. Protokol Vyberte TCP. Port Zadejte 1433. Back-endový port Zadejte 1433. Back-endový fond Vyberte myBackendPool. Sonda stavu Vyberte myHealthProbe. Časový limit nečinnosti (minuty) Posuňte posuvník na 15 minut. Resetování protokolu TCP Vyberte Zakázáno. Ponechte zbývající výchozí hodnoty a pak vyberte OK.
Vytvoření služby Private Link
V této části vytvoříte službu Private Link za standardním nástrojem pro vyrovnávání zatížení.
V levé horní části stránky na webu Azure Portal vyberte Vytvořit prostředek.
V poli Hledat na Marketplace vyhledejte Private Link.
Vyberte Vytvořit.
V části Přehled v Části Centrum služby Private Link vyberte modré tlačítko Vytvořit službu Private Link.
Na kartě Základy v části Vytvořit službu private link zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte skupinu prostředků. Podrobnosti o instanci Název Zadejte myPrivateLinkService. Oblast Vyberte USA – východ. Vyberte kartu Nastavení odchozích přenosů nebo vyberte Další: Odchozí nastavení v dolní části stránky.
Na kartě Nastavení odchozích přenosů zadejte nebo vyberte následující informace:
Nastavení Hodnota Load Balancer Vyberte myLoadBalancer. IP adresa front-endu nástroje pro vyrovnávání zatížení Vyberte LoadBalancerFrontEnd. Zdrojová podsíť NAT Vyberte pls-subnet. Povolení proxy serveru TCP V2 Ponechte výchozí hodnotu Ne. Nastavení privátní IP adresy Ponechte výchozí nastavení. Vyberte kartu Zabezpečení aplikace Access nebo vyberte Další: Zabezpečení přístupu v dolní části stránky.
Ponechte výchozí nastavení řízení přístupu na základě role pouze na kartě Zabezpečení přístupu.
Vyberte kartu Značky nebo vyberte Další: Značky v dolní části stránky.
Vyberte kartu Zkontrolovat a vytvořit nebo vyberte Další: Zkontrolovat a vytvořit v dolní části stránky.
Na kartě Zkontrolovat a vytvořit vyberte Vytvořit.
Vytvoření serverů back-end
Na levé horní straně portálu vyberte Vytvořit výpočetní > virtuální počítač prostředku>.
V části Vytvořit virtuální počítač zadejte nebo vyberte hodnoty na kartě Základy :
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina prostředků Vyberte skupinu prostředků. Podrobnosti o instanci Virtual machine name Zadejte myVM1. Oblast Vyberte USA – východ. Možnosti dostupnosti Vyberte zóny dostupnosti. Availability zone Vyberte 1. Image Vyberte Ubuntu Server 22.04 LTS. Instance Azure Spot Vyberte možnost Ne. Velikost Zvolte velikost virtuálního počítače nebo použijte výchozí nastavení. Účet správce Username Zadejte uživatelské jméno. Zdroj veřejného klíče SSH Vygenerujte nový pár klíčů. Název páru klíčů mySSHKey. Pravidla portů pro příchozí spojení Veřejné příchozí porty Nic Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.
Na kartě Sítě vyberte nebo zadejte:
Nastavení Hodnota Síťové rozhraní Virtuální síť Vyberte svou virtuální síť. Podsíť be-subnet. Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Vyberte Žádná. Vyrovnávání zatížení Umístěte tento virtuální počítač za existující řešení vyrovnávání zatížení? Vyberte Ano. Nastavení vyrovnávání zatížení Možnosti vyrovnávání zatížení Vyberte vyrovnávání zatížení Azure. Výběr nástroje pro vyrovnávání zatížení Vyberte myLoadBalancer. Výběr back-endového fondu Vyberte myBackendPool. Vyberte Zkontrolovat a vytvořit.
Zkontrolujte nastavení a pak vyberte Vytvořit.
Opakováním kroku 1 až 6 můžete mít více než 1 virtuální počítač back-endového serveru pro vysokou dostupnost.
Vytvoření pravidla předávání do koncového bodu
Přihlaste se a zkopírujte skript ip_fwd.sh na virtuální počítače back-endového serveru.
Spusťte skript s následujícími možnostmi:
sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433Nastavte zástupný symbol
<FQDN/IP>jako cílovou IP adresu SQL Serveru.Poznámka:
Plně kvalifikovaný název domény nefunguje pro místní SQL Server, pokud nepřidáte záznam v zóně Azure DNS.
Spusťte následující příkaz a zkontrolujte iptables na virtuálních počítačích back-endového serveru. V iptables můžete zobrazit jeden záznam s cílovou IP adresou.
sudo iptables -t nat -v -L PREROUTING -n --line-number**
Poznámka:
Pokud máte více než jeden SQL Server nebo zdroje dat, musíte definovat několik pravidel nástroje pro vyrovnávání zatížení a záznamů tabulky IP s různými porty. Jinak dojde ke konfliktu. Příklad:
Port v pravidle nástroje pro vyrovnávání zatížení Back-endový port v pravidle vyrovnávání zatížení Spuštění příkazu na virtuálním počítači back-endového serveru SQL Server 1 1433 1433 sudo ./ip_fwd.sh -i eth0 -f 1433 -a <plně kvalifikovaný název domény/IP> -b 1433 SQL Server 2 1434 1434 sudo ./ip_fwd.sh -i eth0 -f 1434 -a <plně kvalifikovaný název domény/IP> -b 1433 Poznámka:
Je důležité si uvědomit, že konfigurace virtuálního počítače není trvalá. To znamená, že pokaždé, když se virtuální počítač restartuje, bude vyžadovat rekonfiguraci.
Vytvoření privátního koncového bodu do služby Private Link
V nabídce vlevo vyberte Všechny služby, vyberte Všechny prostředky a pak v seznamu prostředků vyberte datovou továrnu.
Vyberte Vytvořit a monitorovat. Na samostatné kartě se spustí uživatelské rozhraní služby Data Factory.
Přejděte na kartu Správa a pak přejděte do části Spravované privátní koncové body .
V části Spravované privátní koncové body vyberte + Nový.
V seznamu vyberte dlaždici služby Private Link a vyberte Pokračovat.
Zadejte název privátního koncového bodu a v seznamu služeb privátního propojení vyberte myPrivateLinkService .
<FQDN>Přidejte cílový místní SQL Server.
Poznámka:
Při nasazování SQL Serveru na virtuální počítač v rámci virtuální sítě je důležité rozšířit plně kvalifikovaný název domény připojením privátního propojení. Jinak bude v konfliktu s jinými záznamy v nastavení DNS. Můžete například jednoduše upravit plně kvalifikovaný název domény SQL Serveru z sqlserver.westus.cloudapp.azure.net na sqlserver.privatelink.westus.cloudapp.azure.net.
Poznámka:
Vlastnosti připojení SQL se v současné době nepodporují ApplicationIntent a MultiSubnetFailover.
Vytvoření privátního koncového bodu
Vytvoření propojené služby a otestování připojení
Přejděte na kartu Spravovat a pak přejděte do části Propojené služby .
V části Propojená služba vyberte + Nový.
V seznamu vyberte dlaždici SQL Serveru a vyberte Pokračovat.
Povolte interaktivní vytváření obsahu.
Zadejte plně kvalifikovaný název domény místního SQL Serveru, uživatelské jméno a heslo.
Potom klikněte na test připojení.
Poznámka:
Pokud máte více než jeden SQL Server a potřebujete definovat více pravidel nástroje pro vyrovnávání zatížení a záznamů tabulky IP s různými porty, nezapomeňte explicitně přidat název portu za plně kvalifikovaný název domény při úpravě propojené služby. Virtuální počítač NAT bude zpracovávat překlad portů. Pokud není explicitně zadaný, připojení vždy vyprší časový limit.
Řešení problému
Přejděte na virtuální počítač s back-endovým serverem a ověřte, že SQL Server funguje: plně kvalifikovaný název domény> telnet< 1433.
Související obsah
V následujícím kurzu se dozvíte, jak získat přístup ke službě Microsoft Azure SQL Managed Instance ze spravované virtuální sítě služby Data Factory pomocí privátního koncového bodu: