Konfigurieren von Azure SQL verwaltete Instanz NSG-Regeln für die Arbeit mit Azure Confidential Ledger
Gilt für:Azure SQL Managed Instance
Nachdem Sie Azure Confidential Ledger als Digestspeicherort in Ihrem Azure SQL-verwaltete Instanz aktiviert haben, müssen Sie die regeln des virtuellen Netzwerks Ihrer Azure SQL-verwaltete Instanz manuell für die Kommunikation mit Azure Confidential Ledger konfigurieren.
In diesem Artikel werden folgende Vorgehensweisen behandelt:
- Konfigurieren Sie Ihre SQL-verwaltete Instanz Netzwerksicherheitsgruppe (Network Security Group, NSG) und Routingtabellenregeln, um Datenverkehr zu Azure Confidential Ledger zuzulassen.
Berechtigungen
Aufgrund der Vertraulichkeit von Daten in einer verwalteten Instanz erfordert die Konfiguration zum Aktivieren von Azure SQL verwaltete Instanz öffentlichen Endpunkt einen zweistufigen Prozess. Diese Sicherheitsmaßnahme entspricht der Aufgabentrennung (Separation of Duties, SoD):
- Der SQL-verwaltete Instanz-Administrator muss den öffentlichen Endpunkt auf dem SQL-verwaltete Instanz aktivieren. Der SQL-verwaltete Instanz-Administrator finden Sie auf der Seite "Übersicht" für Ihre SQL-verwaltete Instanz-Ressource.
- Ein Netzwerkadministrator muss den Datenverkehr an die SQL-verwaltete Instanz mithilfe einer NSG zulassen. Weitere Informationen finden Sie unter Berechtigungen.
Aktivieren von ausgehenden NSG-Regeln für Azure Confidential Ledger
Wir müssen die IP-Adressen des Azure Confidential Ledger erfassen und sie den ausgehenden NSG-Regeln und der Routingtabelle Ihrer SQL-verwaltete Instanz hinzufügen.
Abrufen von Ip-Adressen des Ledger-Endpunkts und Identitätsdienst-Endpunkts
Erfassen Sie in Ihrer bereitgestellten Seite "Azure Confidential Ledger Overview" im Azure-Portal den Hostnamen des Ledger-Endpunkts. Erwerben Sie die IP-Adresse Ihrer Azure Confidential Ledger-Instanz mithilfe ping
eines ähnlichen Netzwerktools.
ping -a <ledgername>.confidential-ledger.azure.com
PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms
Führen Sie in ähnlicher Weise das Verfahren für die Azure Confidential Ledger-Instanz Identity Service Endpoint
aus.
ping identity.confidential-ledger.core.azure.com
PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms
Hinzufügen von IP-Adressen zu den ausgehenden NSG-Regeln
Diese beiden IP-Adressen sollten den ausgehenden NSG-Regeln Ihrer SQL-verwaltete Instanz hinzugefügt werden.
Wechseln Sie im Azure-Portal zur Netzwerksicherheitsgruppe Ihrer SQL-verwaltete Instanz. Die Netzwerksicherheitsgruppe ist eine separate Ressource in der Ressourcengruppe Ihrer SQL-verwaltete Instanz.
Wechseln Sie zum Menü "Ausgehende Sicherheitsregeln ".
Fügen Sie die zwei IP-Adressen hinzu, die im vorherigen Abschnitt als neue ausgehende Regel abgerufen wurden:
Wählen Sie die Registerkarte "Ausgehende Sicherheitsregeln " aus, und fügen Sie eine Regel mit höherer Priorität als die deny_all_inbound Regel mit den folgenden Einstellungen hinzu:
Einstellung Vorgeschlagener Wert BESCHREIBUNG Quelle Beliebige IP-Adresse oder beliebiges Diensttag - Wählen Sie für Azure-Dienste wie Power BI das Azure Cloud-Diensttag aus
- Verwenden Sie für Ihren Computer oder Ihre Azure-VM (virtueller Computer) die NAT-IP-Adresse.
Quellportbereiche * Lassen Sie dies als * (alle) als Quellports in der Regel dynamisch zugeordnet und als solche, unvorhersehbar Ziel <1.123.123.123>, <13.107.246.70> Hinzufügen der IP-Adressen, die im vorherigen Abschnitt für Azure Confidential Ledger abgerufen wurden Zielportbereiche 3342 Legen Sie den Zielport auf 3342 fest, den öffentlichen TDS-Endpunkt der verwalteten Instanz Dienst HTTPS SQL-verwaltete Instanz kommunizieren mit Dem Hauptbuch über HTTPS Aktion Zulassen Ausgehenden Datenverkehr von verwalteter Instanz zum Hauptbuch zulassen Priorität 1500 Stellen Sie sicher, dass diese Regel höhere Priorität hat als die Regel deny_all_inbound
Hinzufügen von IP-Adressen zur Routentabelle
Die beiden IP-Adressen von Azure Confidential Ledger sollten auch der Tabelle "Route" hinzugefügt werden:
Wechseln Sie im Azure-Portal zur Tabelle "Route" ihrer SQL-verwaltete Instanz. Die Tabelle "Route" ist eine separate Ressource in der Gruppe "Ressource" Ihrer SQL-verwaltete Instanz.
Wechseln Sie unter Einstellungen zum Menü "Routen".
Fügen Sie die im vorherigen Abschnitt abgerufenen zwei IP-Adressen als neue Routen hinzu:
Einstellung Vorgeschlagener Wert Beschreibung Routenname Verwenden eines bevorzugten Namens Name, den Sie für diese Route verwenden möchten Zieltyp IP-Adressen Verwenden des Dropdownmenüs und Auswählen von IP-Adressen Ziel-IP-Adressen/CIDR-Bereiche 1.123.123.123/32 In diesem Beispiel verwenden wir 1.123.123.123/32
. Erstellen Sie eine weitere Route zum Hinzufügen des Identitätsdienstendpunkts, der sich in diesem Beispiel befindet13.107.246.70/32
.Typ des nächsten Hops Internet
Überprüfen, ob das Routing ordnungsgemäß konfiguriert ist
Sie können bestätigen, dass Ihre SQL-verwaltete Instanz jetzt mit dem vertraulichen Azure Ledger kommunizieren kann, indem Sie eine Datenbanküberprüfung ausführen. Die Abfrage sollte dies Ledger verification succeeded
melden.
Zugehöriger Inhalt
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für