Konfigurieren von Dienstendpunktrichtlinien (Vorschauversion) für Azure SQL Managed Instance

Gilt für:Azure SQL Managed Instance

VNET-Dienstendpunktrichtlinien für Azure Storage ermöglichen es Ihnen, ausgehenden virtuellen Netzwerkdatenverkehr zu Azure Storage-Konten zu filtern und die Datenübertragung nur auf bestimmte Azure Storage-Konten zu beschränken.

Die Option, Ihre Endpunktrichtlinien zu konfigurieren und sie Ihrer Instanz von SQL Managed Instance zuzuordnen, befindet sich derzeit in der Vorschauversion.

Hauptvorteile

Durch das Konfigurieren von VNET-Dienstendpunktrichtlinien für Azure Storage in Ihrer Instanz von Azure SQL Managed Instance können Sie von den folgenden Vorteilen profitieren:

• Verbesserte Sicherheit für den Datenverkehr von Ihrer Azure SQL Managed Instance-Instanz an Azure Storage: Endpunktrichtlinien dienen als Sicherheitskontrolle, durch die eine fehlerhafte oder böswillige Exfiltration unternehmenskritischer Daten verhindert wird. Der Datenverkehr kann auf die Speicherkonten beschränkt werden, die mit Ihren Datengovernanceanforderungen übereinstimmen.

• Präzise Steuerung, auf welche Speicherkonten zugegriffen werden kann: Dienstendpunktrichtlinien können die Datenübertragung zu Speicherkonten auf verschiedenen Ebenen (Abonnement, Ressourcengruppe oder individuelles Speicherkonto) zulassen. Administratoren können Dienstendpunktrichtlinien verwenden, um die Einhaltung der Datenschutzarchitektur ihrer Organisation in Azure zu erzwingen.

• Der Systemdatenverkehr ist nicht betroffen: Dienstendpunktrichtlinien blockieren niemals den Zugriff auf Speicherplatz, der für die ordnungsgemäße Funktion von Azure SQL Managed Instance erforderlich ist. Dazu gehört das Speichern von Sicherungsdateien, Datendateien, Transaktionsprotokolldateien und anderen Ressourcen.

Wichtig

Mit Dienstendpunktrichtlinien wird nur der Datenverkehr gesteuert, der aus dem SQL Managed Instance-Subnetz stammt und an Azure Storage geleitet wird. Die Richtlinien wirken sich bspw. nicht auf das Exportieren der Datenbank in eine lokale BACPAC-Datei, die Integration von Azure Data Factory, die Sammlung von Diagnoseinformationen über Azure Diagnostic Settings oder andere Datenextraktionsmechanismen aus, die nicht direkt auf Azure Storage abzielen.

Einschränkungen

Folgende Einschränkungen sind beim Aktivieren von Dienstendpunktrichtlinien für Ihre Instanz von Azure SQL Managed Instance zu beachten:

• In der Vorschau beeinträchtigt das Platzieren einer Dienstendpunktrichtlinie in einem Subnetz die Möglichkeit von Instanzen in diesem Subnetz, Zeitpunktwiederherstellungen (PITR, Point-in-Time Restores) über eine Instanz in einem anderen Subnetz durchzuführen. Eine Dienstendpunktrichtlinie verhindert jedoch nicht, dass Instanzen in anderen Subnetzen Sicherungen aus diesem Subnetz wiederherstellen.
• In der Vorschauversion ist dieses Feature in allen Azure-Regionen verfügbar, in denen SQL Managed Instance unterstützt wird, mit Ausnahme von China, Osten 2, China, Norden 2, USA, Mitte EUAP, USA, Osten 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginiaund USA, Westen-Mitte.
• Das Feature ist nur für virtuelle Netzwerke verfügbar, für die das Azure Resource Manager-Bereitstellungsmodell verwendet wird.
• Das Feature ist nur in Subnetzen verfügbar, in denen Dienstendpunkte für Azure Storage aktiviert sind.
• Durch das Zuweisen einer Dienstendpunktrichtlinie zu einem Dienstendpunkt wird dessen regionaler Bereich zu einem globalen Bereich erweitert. Das heißt, dass der gesamte Datenverkehr zu Azure Storage, unabhängig von der Region, in der sich das Speicherkonto befindet, über den Dienstendpunkt abgewickelt wird.
• Das Zulassen eines Speicherkontos ermöglicht automatisch den Zugriff auf das sekundäre RA-GRS-Konto.

Bestandsaufnahme der Speicherkonten vorbereiten

Bevor Sie mit dem Konfigurieren von Dienstendpunktrichtlinien in einem Subnetz beginnen, erstellen Sie eine Liste mit Speicherkonten, auf die die verwaltete Instanz in diesem Subnetz zugreifen soll.

Es folgt eine Liste von Workflows, die mit Azure Storage kommunizieren können:

• Überwachung an Azure Storage
• Ausführen einer Kopiesicherung in Azure Storage
• Wiederherstellen einer Datenbank aus Azure Storage
• Importieren von Daten mithilfe von BULK INSERT oder OPENROWSET(BULK...)
• Protokollieren erweiterter Ereignisse an eine Ereignisdatei in Azure Storage
• Offline-Migration von Azure DMS zu Azure SQL Managed Instance
• Migration von Log Replay Service zu Azure SQL Managed Instance
• Synchronisieren von Tabellen mit der Transaktionsreplikation

Notieren Sie sich den Kontonamen, die Ressourcengruppe und das Abonnement für jedes Speicherkonto, das an diesen oder anderen Workflows beteiligt ist, die auf den Speicher zugreifen.

Konfigurieren von Richtlinien

Zunächst müssen Sie Ihre Dienstendpunktrichtlinie erstellen und die Richtlinie dann dem SQL Managed Instance-Subnetz zuordnen. Passen Sie den Workflow in diesem Abschnitt an Ihre konkreten Geschäftsanforderungen an.

Hinweis

• SQL Managed Instance-Subnetze erfordern Richtlinien, die den Dienstalias /Services/Azure/ManagedInstance enthalten (siehe Schritt 5).
• Verwaltete Instanzen, die in einem Subnetz bereitgestellt werden, das bereits Dienstendpunktrichtlinien enthält, werden automatisch für den Dienstalias /Services/Azure/ManagedInstance aktualisiert.

Erstellen einer Dienstendpunktrichtlinie

Führen Sie die folgenden Schritte aus, um eine Dienstendpunktrichtlinie zu erstellen:

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie + Ressource erstellen.

3. Geben Sie im Suchbereich Dienstendpunktrichtlinie ein, und wählen Sie anschließend Dienstendpunktrichtlinie und dann Erstellen aus.

   

4. Fügen Sie auf der Seite Basics (Grundeinstellungen) die folgenden Werte hinzu:

   • Abonnement: Wählen Sie aus dem Dropdown-Menü das Abonnement für Ihre Richtlinie aus.
   • Ressourcengruppe: Wählen Sie die Ressourcengruppe aus, in der sich Ihre verwaltete Instanz befindet, oder wählen Sie Neu erstellen aus und geben Sie den Namen für eine neue Ressourcengruppe ein.
   • Name: Geben Sie einen Namen für die Richtlinie ein, z. B. mySEP.
   • Standort: Wählen Sie die Region des virtuellen Netzwerks aus, in dem die verwaltete Instanz gehostet wird.

   

5. Wählen Sie unter Richtliniendefinitionen die Option Alias hinzufügen aus, und geben Sie im Bereich Alias hinzufügen die folgenden Informationen ein:

   • Dienstalias: Wählen Sie /Services/Azure/ManagedInstance aus.
   • Wählen Sie Hinzufügen aus, um das Hinzufügen des Dienstalias abzuschließen.

   

6. Wählen Sie im Bereich Richtliniendefinitionen unter Ressourcen die Option + Hinzufügen aus, und geben Sie im Bereich Ressource hinzufügen die folgenden Informationen ein, oder wählen Sie sie dort aus:

   • Dienst: Wählen Sie Microsoft.Storage aus.
   • Bereich: Wählen Sie Alle Konten im Abonnement aus.
   • Abonnement: Wählen Sie das Abonnement aus, das die zuzulassenden Speicherkonten enthält. Weitere Informationen finden Sie in Ihrem Azure-Speicherkontobestand, den Sie im vorherigen Schritt erstellt haben.
   • Wählen Sie Hinzufügen aus, um das Hinzufügen der Ressource abzuschließen.
   • Wiederholen Sie diesen Schritt, um weitere Abonnements hinzuzufügen.

   

7. Optional: Sie können Tags für die Dienstendpunktrichtlinie unter Tags konfigurieren.

8. Klicken Sie auf Überprüfen + erstellen. Überprüfen Sie die Informationen und wählen Sie Erstellen aus. Um weitere Änderungen vorzunehmen, klicken Sie auf Zurück.

Tipp

Als Erstes müssen Sie Richtlinien konfigurieren, um den Zugriff auf ganze Abonnements zuzulassen. Überprüfen Sie die Konfiguration, indem Sie sicherstellen, dass alle Workflows normal funktionieren. Anschließend können Sie die Richtlinien optional neu konfigurieren, um einzelne Speicherkonten oder Konten in einer Ressourcengruppe zuzulassen. Wählen Sie hierzu im Feld Bereich: die Option Einzelnes Konto oder Alle Konten in der Ressourcengruppe aus, und füllen Sie die anderen Felder entsprechend aus.

Zuordnen einer Richtlinie zum Subnetz

Nachdem Sie die Dienstendpunktrichtlinie erstellt haben, ordnen Sie die Richtlinie Ihrem SQL Managed Instance-Subnetz zu.

Führen Sie dazu die folgenden Schritte aus:

1. Suchen Sie im Feld Alle Dienste im Azure-Portal nach virtuellen Netzwerken. Wählen Sie Virtuelle Netzwerke aus.

2. Suchen Sie das virtuelle Netzwerk, in dem Ihre verwaltete Instanz gehostet wird, und wählen Sie es aus.

3. Wählen Sie dann Subnetze und das für Ihre verwaltete Instanz dedizierte Subnetz aus. Geben Sie im Bereich „Subnetze“ die folgenden Informationen ein:

   • Dienste: Wählen Sie Microsoft.Storage aus. Wenn dieses Feld leer ist, müssen Sie den Dienstendpunkt für Azure Storage in diesem Subnetz konfigurieren.
   • Dienstendpunktrichtlinien: Wählen Sie alle Dienstendpunktrichtlinien aus, die Sie auf das SQL Managed Instance-Subnetz anwenden möchten.

   

4. Wählen Sie Speichern aus, um das Konfigurieren des virtuellen Netzwerks abzuschließen.

Warnung

Wenn die Richtlinien in diesem Subnetz nicht über den Alias /Services/Azure/ManagedInstance verfügen, wird möglicherweise der folgende Fehler angezeigt: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Um dies zu beheben, aktualisieren Sie alle Richtlinien im Subnetz so, dass sie den /Services/Azure/ManagedInstanceAlias enthalten.

Nächste Schritte

• Erfahren Sie mehr über das Sichern Ihrer Azure Storage-Konten.
• Informieren Sie sich über die Sicherheitsfunktionen von SQL Managed Instance.
• Weitere Informationen über die Konnektivitätsarchitektur von Azure SQL Managed Instance.