Configurer des règles de groupe de sécurité réseau Azure SQL Managed Instance pour qu’ils fonctionnent avec le registre confidentiel Azure
S’applique à :Azure SQL Managed Instance
Une fois que vous avez activé le registre confidentiel Azure comme emplacement de synthèse sur votre instance managée Azure SQL, vous devez configurer manuellement les règles de réseau virtuel de votre instance managée Azure SQL pour communiquer avec le registre confidentiel Azure.
Dans cet article, vous apprendrez comment :
- Configurez votre groupe de sécurité réseau SQL Managed Instance (NSG) et les règles de table de routage pour autoriser le trafic vers le registre confidentiel Azure.
Autorisations
En raison de la sensibilité des données dans une instance managée, la configuration permettant d’activer le point de terminaison public Azure SQL Managed Instance nécessite un processus en deux étapes. Cette mesure de sécurité est conforme à la séparation des tâches :
- L’administrateur SQL Managed Instance doit activer le point de terminaison public sur SQL Managed Instance. Vous trouverez l’administrateur SQL Managed Instance dans la page Vue d’ensemble de votre ressource SQL Managed Instance.
- Un administrateur réseau doit autoriser le trafic vers SQL Managed Instance à l’aide d’un groupe de sécurité réseau. Pour en savoir plus, consultez la liste des permissions du groupe de sécurité réseau.
Activer les règles de groupe de sécurité réseau sortantes pour le registre confidentiel Azure
Nous devons capturer les adresses IP du registre confidentiel Azure et les ajouter aux règles de groupe de sécurité réseau sortantes et à la table de routage de votre instance managée SQL.
Obtenir des adresses IP de point de terminaison de registre et de point de terminaison de service d’identité
Dans la page Vue d’ensemble du registre confidentiel Azure provisionné de l’Portail Azure, capturez le nom d’hôte du point de terminaison du registre. Acquérir l’adresse IP de votre instance de registre confidentiel Azure à l’aide d’un outil réseau similaire ou à l’aide ping
d’un outil réseau similaire.
ping -a <ledgername>.confidential-ledger.azure.com
PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms
De même, effectuez la procédure pour l’instance Identity Service Endpoint
de Registre confidentiel Azure.
ping identity.confidential-ledger.core.azure.com
PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms
Ajouter des adresses IP aux règles de groupe de sécurité réseau sortantes
Ces deux adresses IP doivent être ajoutées aux règles de groupe de sécurité réseau sortantes de votre instance managée SQL.
Dans le Portail Azure, accédez au groupe de sécurité réseau de votre instance managée SQL. Le groupe de sécurité réseau est une ressource distincte dans le groupe de ressources de votre instance managée SQL.
Accédez au menu Règles de sécurité sortantes.
Ajoutez les deux adresses IP obtenues dans la section précédente en tant que nouvelle règle de trafic sortant :
Sélectionnez l’onglet Règles de sécurité sortantes et ajoutez une règle qui a une priorité supérieure à la règle de deny_all_inbound avec les paramètres suivants :
Paramètre Valeur suggérée Description Source N’importe quelle adresse IP ou balise de service - Pour les services Azure tels que Power BI, sélectionnez la balise de service Azure Cloud
- Pour votre ordinateur ou machine virtuelle Azure, utilisez l’adresse IP NAT.
Plages de ports source * Laissez cela en tant que * (n’importe quel) comme ports sources sont généralement alloués dynamiquement et, par conséquent, imprévisibles Destination <1.123.123.123>, <13.107.246.70> Ajouter les adresses IP obtenues dans la section précédente pour le registre confidentiel Azure Plages de ports de destination 3342 Définissez la portée du port de destination sur 3342, qui est le point de terminaison TDS public de l’instance gérée service HTTPS SQL Managed Instance communique avec le registre via HTTPS Action Allow Autoriser le trafic sortant de l’instance managée au registre Priorité 1 500 Assurez-vous que cette règle présente une priorité plus élevée que la règle deny_all_inbound
Ajouter des adresses IP à la table de routage
Les deux adresses IP du registre confidentiel Azure doivent également être ajoutées à la table de routage :
Dans le Portail Azure, accédez à la table Route de votre instance managée SQL. La table route est une ressource distincte dans le groupe de ressources de votre instance managée SQL.
Accédez au menu Itinéraires sous Paramètres.
Ajoutez les deux adresses IP obtenues dans la section précédente en tant que nouveaux itinéraires :
Paramètre Valeur suggérée Description Nom de l’itinéraire Utiliser un nom préféré Nom que vous souhaitez utiliser pour cet itinéraire Type de destination Adresses IP Utilisez le menu déroulant et sélectionnez Adresses IP Plages d’adresses IP/CIDR de destination 1.123.123.123/32 Dans cet exemple, nous utilisons 1.123.123.123/32
. Créez un autre itinéraire pour ajouter le point de terminaison de service d’identité, qui se trouve13.107.246.70/32
dans cet exempleType de tronçon suivant Internet
Vérifier que le routage est correctement configuré
Vous pouvez confirmer que votre instance managée SQL est désormais en mesure de communiquer avec le registre confidentiel Azure en exécutant une vérification de base de données. La requête doit signaler que Ledger verification succeeded
.
Contenu connexe
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour