Kurz: Přístup k místnímu SQL Serveru ze spravované virtuální sítě služby Data Factory s využitím privátního koncového bodu

Tento kurz obsahuje postup použití webu Azure Portal k nastavení služby Private Link a přístupu k místnímu SQL Serveru ze spravované virtuální sítě pomocí privátního koncového bodu. Použití spravované virtuální sítě zajišťuje, že provoz do a z místního zdroje SQL bude projít vaším vlastním privátním koncovým bodem, čímž se zajistí ohrožení veřejného cloudu další vrstvou zabezpečení a izolace. Pro podporu scénáře jsou nezbytné požadované prostředky uvedené níže.

Poznámka:

Řešení uvedené v tomto článku popisuje připojení k SQL Serveru, ale podobný přístup můžete použít k připojení a dotazování dalších dostupných místních konektorů podporovaných ve službě Azure Data Factory.

Snímek obrazovky znázorňující model přístupu SQL Serveru

Požadavky

  • Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
  • Virtuální síť. Pokud nemáte virtuální síť, vytvořte jednu z následujících možností Vytvořit virtuální síť.
  • Virtuální síť do místní sítě. Vytvořte připojení mezi virtuální sítí a místní sítí pomocí ExpressRoute nebo VPN. Pokud dáváte přednost použití cloudového virtuálního počítače v privátní síti, můžete to udělat i vy. Stačí vytvořit virtuální síť pro cloudové virtuální počítače a privátní propojení s virtuální sítí a můžete k nim přistupovat, jako by šlo o místní počítače ve vaší privátní síti, i když jsou hostované v cloudu.
  • Data Factory s povolenou spravovanou virtuální sítí Pokud nemáte datovou továrnu nebo spravovanou virtuální síť není povolená, vytvořte jednu z následujících možností Vytvoření služby Data Factory se spravovanou virtuální sítí.

Vytváření podsítí pro prostředky

Pomocí portálu vytvořte podsítě ve vaší virtuální síti.

Podsíť Popis
be-subnet podsíť pro back-endové servery
podsíť fe-subnet podsíť pro interní nástroj pro vyrovnávání zatížení úrovně Standard
pls-subnet podsíť pro službu Private Link

Snímek obrazovky znázorňující podsítě

Vytvoření standardního nástroje pro vyrovnávání zatížení

Pomocí portálu vytvořte standardní interní nástroj pro vyrovnávání zatížení.

  1. V levém horním rohu obrazovky vyberte Vytvořit nástroj pro vyrovnávání zatížení sítě>.>

  2. Na kartě Základy na stránce Vytvořit nástroj pro vyrovnávání zatížení zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte skupinu prostředků.
    Název Zadejte myLoadBalancer.
    Oblast Vyberte USA – východ.
    Typ Vyberte Interní.
    Skladová jednotka (SKU) Vyberte položku Standardní.
    Virtuální síť Vyberte svou virtuální síť.
    Podsíť Vyberte podsíť fe vytvořenou v předchozím kroku.
    Přiřazení IP adres Vyberte Dynamické.
    Availability zone Vyberte zónově redundantní.
  3. Přijměte výchozí hodnoty pro zbývající nastavení a pak vyberte Zkontrolovat a vytvořit.

  4. Na kartě Revize a vytvoření vyberte Vytvořit.

    Snímek obrazovky znázorňující krok pro vytvoření standardního nástroje pro vyrovnávání zatížení

Vytvoření prostředků nástroje pro vyrovnávání zatížení

Vytvoření back-endového fondu

Back-endový fond adres obsahuje IP adresy virtuálních síťových karet připojených k nástroji pro vyrovnávání zatížení.

Vytvořte back-endový fond adres myBackendPool pro zahrnutí virtuálních počítačů pro vyrovnávání zatížení internetového provozu.

  1. V nabídce vlevo vyberte Všechny služby , vyberte Všechny prostředky a pak v seznamu prostředků vyberte myLoadBalancer .
  2. V části Nastavení vyberte Back-endové fondy a pak vyberte Přidat.
  3. Na stránce Přidat back-endový fond zadejte jako název back-endového fondu název myBackendPool a pak vyberte Přidat.

Vytvoření sondy stavu

Nástroj pro vyrovnávání zatížení monitoruje stav aplikace pomocí sondy stavu.

Sonda stavu přidá nebo odebere virtuální počítače z nástroje pro vyrovnávání zatížení na základě jejich reakce na kontroly stavu.

Vytvořte sondu stavu s názvem myHealthProbe, abyste mohli monitorovat stav virtuálních počítačů.

  1. V nabídce vlevo vyberte Všechny služby , vyberte Všechny prostředky a pak v seznamu prostředků vyberte myLoadBalancer .

  2. V části Nastavení vyberte Sondy stavu a pak vyberte Přidat.

    Nastavení Hodnota
    Name Zadejte myHealthProbe.
    Protokol Vyberte TCP.
    Port Zadejte 22.
    Interval Zadejte 15 pro počet intervalů v sekundách mezi pokusy o sondu.
    Prahová hodnota pro poškozený stav Vyberte 2 pro počet chybných prahových hodnot nebo po sobě jdoucích selhání sond, ke kterým musí dojít, než bude virtuální počítač považován za poškozený.
  3. Ponechte zbývající výchozí hodnoty a vyberte OK.

Vytvoření pravidla nástroje pro vyrovnávání zatížení

Pravidlo nástroje pro vyrovnávání zatížení slouží k definování způsobu distribuce provozu do virtuálních počítačů. Definujete konfiguraci front-endové IP adresy pro příchozí provoz a back-endový fond IP adres pro příjem provozu. Zdrojový a cílový port se definuje v pravidle.

V této části vytvoříte pravidlo nástroje pro vyrovnávání zatížení:

  1. V nabídce vlevo vyberte Všechny služby , vyberte Všechny prostředky a pak v seznamu prostředků vyberte myLoadBalancer .

  2. V části Nastavení vyberte pravidla vyrovnávání zatížení a pak vyberte Přidat.

  3. Ke konfiguraci pravidla vyrovnávání zatížení použijte tyto hodnoty:

    Nastavení Hodnota
    Name Zadejte můj příkaz.
    Verze protokolu IP Vyberte IPv4.
    Front-endová IP adresa Vyberte LoadBalancerFrontEnd.
    Protokol Vyberte TCP.
    Port Zadejte 1433.
    Back-endový port Zadejte 1433.
    Back-endový fond Vyberte myBackendPool.
    Sonda stavu Vyberte myHealthProbe.
    Časový limit nečinnosti (minuty) Posuňte posuvník na 15 minut.
    Resetování protokolu TCP Vyberte Zakázáno.
  4. Ponechte zbývající výchozí hodnoty a pak vyberte OK.

V této části vytvoříte službu Private Link za standardním nástrojem pro vyrovnávání zatížení.

  1. V levé horní části stránky na webu Azure Portal vyberte Vytvořit prostředek.

  2. V poli Hledat na Marketplace vyhledejte Private Link.

  3. Vyberte Vytvořit.

  4. V části Přehled v Části Centrum služby Private Link vyberte modré tlačítko Vytvořit službu Private Link.

  5. Na kartě Základy v části Vytvořit službu private link zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte skupinu prostředků.
    Podrobnosti o instanci
    Název Zadejte myPrivateLinkService.
    Oblast Vyberte USA – východ.
  6. Vyberte kartu Nastavení odchozích přenosů nebo vyberte Další: Odchozí nastavení v dolní části stránky.

  7. Na kartě Nastavení odchozích přenosů zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Load Balancer Vyberte myLoadBalancer.
    IP adresa front-endu nástroje pro vyrovnávání zatížení Vyberte LoadBalancerFrontEnd.
    Zdrojová podsíť NAT Vyberte pls-subnet.
    Povolení proxy serveru TCP V2 Ponechte výchozí hodnotu Ne.
    Nastavení privátní IP adresy
    Ponechte výchozí nastavení.
  8. Vyberte kartu Zabezpečení aplikace Access nebo vyberte Další: Zabezpečení přístupu v dolní části stránky.

  9. Ponechte výchozí nastavení řízení přístupu na základě role pouze na kartě Zabezpečení přístupu.

  10. Vyberte kartu Značky nebo vyberte Další: Značky v dolní části stránky.

  11. Vyberte kartu Zkontrolovat a vytvořit nebo vyberte Další: Zkontrolovat a vytvořit v dolní části stránky.

  12. Na kartě Zkontrolovat a vytvořit vyberte Vytvořit.

Vytvoření serverů back-end

  1. Na levé horní straně portálu vyberte Vytvořit výpočetní > virtuální počítač prostředku>.

  2. V části Vytvořit virtuální počítač zadejte nebo vyberte hodnoty na kartě Základy :

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte skupinu prostředků.
    Podrobnosti o instanci
    Virtual machine name Zadejte myVM1.
    Oblast Vyberte USA – východ.
    Možnosti dostupnosti Vyberte zóny dostupnosti.
    Availability zone Vyberte 1.
    Image Vyberte Ubuntu Server 22.04 LTS.
    Instance Azure Spot Vyberte možnost Ne.
    Velikost Zvolte velikost virtuálního počítače nebo použijte výchozí nastavení.
    účet Správa istrator
    Username Zadejte uživatelské jméno.
    Zdroj veřejného klíče SSH Vygenerujte nový pár klíčů.
    Název páru klíčů mySSHKey.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Nic
  3. Vyberte kartu Sítě nebo vyberte Další: Disky a další: Sítě.

  4. Na kartě Sítě vyberte nebo zadejte:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte svou virtuální síť.
    Podsíť be-subnet.
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Žádná.
    Vyrovnávání zatížení
    Umístěte tento virtuální počítač za existující řešení vyrovnávání zatížení? Vyberte Ano.
    Nastavení vyrovnávání zatížení
    Možnosti vyrovnávání zatížení Vyberte vyrovnávání zatížení Azure.
    Výběr nástroje pro vyrovnávání zatížení Vyberte myLoadBalancer.
    Výběr back-endového fondu Vyberte myBackendPool.
  5. Vyberte Zkontrolovat a vytvořit.

  6. Zkontrolujte nastavení a pak vyberte Vytvořit.

  7. Opakováním kroku 1 až 6 můžete mít více než 1 virtuální počítač back-endového serveru pro vysokou dostupnost.

Vytvoření pravidla předávání do koncového bodu

  1. Přihlaste se a zkopírujte skript ip_fwd.sh na virtuální počítače back-endového serveru.

  2. Spusťte skript s následujícími možnostmi:

    sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433
    

    Nastavte zástupný symbol <FQDN/IP> jako cílovou IP adresu SQL Serveru.

    Poznámka:

    Plně kvalifikovaný název domény nefunguje pro místní SQL Server, pokud nepřidáte záznam v zóně Azure DNS.

  3. Spusťte následující příkaz a zkontrolujte iptables na virtuálních počítačích back-endového serveru. V iptables můžete zobrazit jeden záznam s cílovou IP adresou.

    sudo iptables -t nat -v -L PREROUTING -n --line-number**
    

    Snímek obrazovky znázorňující záznam příkazu

    Poznámka:

    Pokud máte více než jeden SQL Server nebo zdroje dat, musíte definovat několik pravidel nástroje pro vyrovnávání zatížení a záznamů tabulky IP s různými porty. Jinak dojde ke konfliktu. Příklad:

    Port v pravidle nástroje pro vyrovnávání zatížení Back-endový port v pravidle vyrovnávání zatížení Spuštění příkazu na virtuálním počítači back-endového serveru
    SQL Server 1 1433 1433 sudo ./ip_fwd.sh -i eth0 -f 1433 -a <plně kvalifikovaný název domény/IP> -b 1433
    SQL Server 2 1434 1434 sudo ./ip_fwd.sh -i eth0 -f 1434 -a <plně kvalifikovaný název domény/IP> -b 1433

    Poznámka:

    Je důležité si uvědomit, že konfigurace virtuálního počítače není trvalá. To znamená, že pokaždé, když se virtuální počítač restartuje, bude vyžadovat rekonfiguraci.

  1. V nabídce vlevo vyberte Všechny služby, vyberte Všechny prostředky a pak v seznamu prostředků vyberte datovou továrnu.

  2. Vyberte Vytvořit a monitorovat. Na samostatné kartě se spustí uživatelské rozhraní služby Data Factory.

  3. Přejděte na kartu Správa a pak přejděte do části Spravované privátní koncové body .

  4. V části Spravované privátní koncové body vyberte + Nový.

  5. V seznamu vyberte dlaždici služby Private Link a vyberte Pokračovat.

  6. Zadejte název privátního koncového bodu a v seznamu služeb privátního propojení vyberte myPrivateLinkService .

  7. <FQDN> Přidejte cílový místní SQL Server.

    Snímek obrazovky znázorňující nastavení privátního koncového bodu

    Poznámka:

    Při nasazování SQL Serveru na virtuální počítač v rámci virtuální sítě je důležité rozšířit plně kvalifikovaný název domény připojením privátního propojení. Jinak bude v konfliktu s jinými záznamy v nastavení DNS. Můžete například jednoduše upravit plně kvalifikovaný název domény SQL Serveru z sqlserver.westus.cloudapp.azure.net na sqlserver.privatelink.westus.cloudapp.azure.net.

  8. Vytvoření privátního koncového bodu

Vytvoření propojené služby a otestování připojení

  1. Přejděte na kartu Spravovat a pak přejděte do části Propojené služby .

  2. V části Propojená služba vyberte + Nový.

  3. V seznamu vyberte dlaždici SQL Serveru a vyberte Pokračovat.

    Snímek obrazovky znázorňující stránku pro vytvoření propojené služby

  4. Povolte interaktivní vytváření obsahu.

    Snímek obrazovky znázorňující povolení interaktivního vytváření

  5. Zadejte plně kvalifikovaný název domény místního SQL Serveru, uživatelské jméno a heslo.

  6. Potom klikněte na test připojení.

    Snímek obrazovky znázorňující stránku pro vytvoření propojené služby SQL Serveru

    Poznámka:

    Pokud máte více než jeden SQL Server a potřebujete definovat více pravidel nástroje pro vyrovnávání zatížení a záznamů tabulky IP s různými porty, nezapomeňte explicitně přidat název portu za plně kvalifikovaný název domény při úpravě propojené služby. Virtuální počítač NAT bude zpracovávat překlad portů. Pokud není explicitně zadaný, připojení vždy vyprší časový limit.

Řešení problému

Přejděte na virtuální počítač s back-endovým serverem a ověřte, že SQL Server funguje: plně kvalifikovaný název domény> telnet< 1433.

V následujícím kurzu se dozvíte, jak získat přístup ke službě Microsoft Azure SQL Managed Instance ze spravované virtuální sítě služby Data Factory pomocí privátního koncového bodu: