Freigeben über

Konfigurieren von Azure SQL verwaltete Instanz NSG-Regeln für die Arbeit mit Azure Confidential Ledger

  • Artikel

Gilt für:Azure SQL Managed Instance

Nachdem Sie Azure Confidential Ledger als Digestspeicherort in Ihrem Azure SQL-verwaltete Instanz aktiviert haben, müssen Sie die regeln des virtuellen Netzwerks Ihrer Azure SQL-verwaltete Instanz manuell für die Kommunikation mit Azure Confidential Ledger konfigurieren.

In diesem Artikel werden folgende Vorgehensweisen behandelt:

  • Konfigurieren Sie Ihre SQL-verwaltete Instanz Netzwerksicherheitsgruppe (Network Security Group, NSG) und Routingtabellenregeln, um Datenverkehr zu Azure Confidential Ledger zuzulassen.

Berechtigungen

Aufgrund der Vertraulichkeit von Daten in einer verwalteten Instanz erfordert die Konfiguration zum Aktivieren von Azure SQL verwaltete Instanz öffentlichen Endpunkt einen zweistufigen Prozess. Diese Sicherheitsmaßnahme entspricht der Aufgabentrennung (Separation of Duties, SoD):

  • Der SQL-verwaltete Instanz-Administrator muss den öffentlichen Endpunkt auf dem SQL-verwaltete Instanz aktivieren. Der SQL-verwaltete Instanz-Administrator finden Sie auf der Seite "Übersicht" für Ihre SQL-verwaltete Instanz-Ressource.
  • Ein Netzwerkadministrator muss den Datenverkehr an die SQL-verwaltete Instanz mithilfe einer NSG zulassen. Weitere Informationen finden Sie unter Berechtigungen.

Aktivieren von ausgehenden NSG-Regeln für Azure Confidential Ledger

Wir müssen die IP-Adressen des Azure Confidential Ledger erfassen und sie den ausgehenden NSG-Regeln und der Routingtabelle Ihrer SQL-verwaltete Instanz hinzufügen.

Abrufen von Ip-Adressen des Ledger-Endpunkts und Identitätsdienst-Endpunkts

Erfassen Sie in Ihrer bereitgestellten Seite "Azure Confidential Ledger Overview" im Azure-Portal den Hostnamen des Ledger-Endpunkts. Erwerben Sie die IP-Adresse Ihrer Azure Confidential Ledger-Instanz mithilfe ping eines ähnlichen Netzwerktools.

ping -a <ledgername>.confidential-ledger.azure.com

PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms

Führen Sie in ähnlicher Weise das Verfahren für die Azure Confidential Ledger-Instanz Identity Service Endpointaus.

ping identity.confidential-ledger.core.azure.com

PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms

Hinzufügen von IP-Adressen zu den ausgehenden NSG-Regeln

Diese beiden IP-Adressen sollten den ausgehenden NSG-Regeln Ihrer SQL-verwaltete Instanz hinzugefügt werden.

  1. Wechseln Sie im Azure-Portal zur Netzwerksicherheitsgruppe Ihrer SQL-verwaltete Instanz. Die Netzwerksicherheitsgruppe ist eine separate Ressource in der Ressourcengruppe Ihrer SQL-verwaltete Instanz.

  2. Wechseln Sie zum Menü "Ausgehende Sicherheitsregeln ".

  3. Fügen Sie die zwei IP-Adressen hinzu, die im vorherigen Abschnitt als neue ausgehende Regel abgerufen wurden:

    Wählen Sie die Registerkarte "Ausgehende Sicherheitsregeln " aus, und fügen Sie eine Regel mit höherer Priorität als die deny_all_inbound Regel mit den folgenden Einstellungen hinzu:

    Einstellung Vorgeschlagener Wert BESCHREIBUNG
    Quelle Beliebige IP-Adresse oder beliebiges Diensttag
    • Wählen Sie für Azure-Dienste wie Power BI das Azure Cloud-Diensttag aus
    • Verwenden Sie für Ihren Computer oder Ihre Azure-VM (virtueller Computer) die NAT-IP-Adresse.
    Quellportbereiche * Lassen Sie dies als * (alle) als Quellports in der Regel dynamisch zugeordnet und als solche, unvorhersehbar
    Ziel <1.123.123.123>, <13.107.246.70> Hinzufügen der IP-Adressen, die im vorherigen Abschnitt für Azure Confidential Ledger abgerufen wurden
    Zielportbereiche 3342 Legen Sie den Zielport auf 3342 fest, den öffentlichen TDS-Endpunkt der verwalteten Instanz
    Dienst HTTPS SQL-verwaltete Instanz kommunizieren mit Dem Hauptbuch über HTTPS
    Aktion Zulassen Ausgehenden Datenverkehr von verwalteter Instanz zum Hauptbuch zulassen
    Priorität 1500 Stellen Sie sicher, dass diese Regel höhere Priorität hat als die Regel deny_all_inbound

    Screenshot of NSG outbound rules to enable SQL to communicate with the ledger.

Hinzufügen von IP-Adressen zur Routentabelle

Die beiden IP-Adressen von Azure Confidential Ledger sollten auch der Tabelle "Route" hinzugefügt werden:

  1. Wechseln Sie im Azure-Portal zur Tabelle "Route" ihrer SQL-verwaltete Instanz. Die Tabelle "Route" ist eine separate Ressource in der Gruppe "Ressource" Ihrer SQL-verwaltete Instanz.

  2. Wechseln Sie unter Einstellungen zum Menü "Routen".

  3. Fügen Sie die im vorherigen Abschnitt abgerufenen zwei IP-Adressen als neue Routen hinzu:

    Einstellung Vorgeschlagener Wert Beschreibung
    Routenname Verwenden eines bevorzugten Namens Name, den Sie für diese Route verwenden möchten
    Zieltyp IP-Adressen Verwenden des Dropdownmenüs und Auswählen von IP-Adressen
    Ziel-IP-Adressen/CIDR-Bereiche 1.123.123.123/32 In diesem Beispiel verwenden wir 1.123.123.123/32. Erstellen Sie eine weitere Route zum Hinzufügen des Identitätsdienstendpunkts, der sich in diesem Beispiel befindet 13.107.246.70/32 .
    Typ des nächsten Hops Internet

    Screenshot of adding a route for the VNET to the ledger.

Überprüfen, ob das Routing ordnungsgemäß konfiguriert ist

Sie können bestätigen, dass Ihre SQL-verwaltete Instanz jetzt mit dem vertraulichen Azure Ledger kommunizieren kann, indem Sie eine Datenbanküberprüfung ausführen. Die Abfrage sollte dies Ledger verification succeededmelden.

Zugehöriger Inhalt