Megosztás a következőn keresztül:

Azure Private Link az Azure SQL Database-hez és az Azure Synapse Analyticshez

A következőkre vonatkozik:Azure SQL DatabaseAzure Synapse Analytics (csak dedikált SQL-készletek)

Az Azure Private Link lehetővé teszi a különböző PaaS-szolgáltatásokhoz való csatlakozást az Azure-ban egy privát végponton keresztül. A Private Link funkciót támogató PaaS-szolgáltatások listáját a Private Link dokumentációs oldalán találja. A privát végpont egy privát IP-cím egy adott virtuális hálózaton és alhálózaton belül.

Fontos

Ez a cikk mind az Azure SQL Database-re, mind az Azure Synapse Analyticsben lévő dedikált SQL-készletre (korábbi nevén SQL DW) vonatkozik. Ezek a beállítások a kiszolgálóhoz társított összes SQL Database-adatbázisra és dedikált SQL-készletre (korábban SQL DW) vonatkoznak. Az egyszerűség kedvéért az "adatbázis" kifejezés az Azure SQL Database és az Azure Synapse Analytics mindkét adatbázisára vonatkozik. Hasonlóképpen, a "kiszolgálóra" mutató hivatkozások arra a logikai kiszolgálóra hivatkoznak, amely az Azure SQL Database-t és a dedikált SQL-készletet (korábban SQL DW) üzemelteti az Azure Synapse Analyticsben. Ez a cikk nem vonatkozik a felügyelt Azure SQL-példányokra vagy az Azure Synapse Analytics-munkaterületeken található dedikált SQL-készletekre.

Mindig használja a kiszolgáló (<server>.database.windows.net) teljes tartománynevét (FQDN) az összes kliensillesztő és klienseszköz kapcsolati sztringjeiben. A közvetlenül a magánhálózati IP-címre vagy a privát kapcsolat teljes tartománynevét (<server>.privatelink.database.windows.net) használó bejelentkezési kísérletek sikertelenek. Ez a viselkedés azért van tervezve, mert a privát végpont a forgalmat az SQL Gatewayre irányítja, amelyhez a bejelentkezések sikeres átirányításához a megfelelő teljes tartománynév szükséges.

Létrehozási folyamat

Privát végpontok az Azure Portal, a PowerShell vagy az Azure CLI használatával hozhatók létre:

Jóváhagyási folyamat

Miután a hálózati rendszergazda létrehozta a privát végpontot (PE), az SQL-rendszergazda kezelheti a privát végponti kapcsolatot (PEC) az SQL Database-hez.

  1. Lépjen a kiszolgálói erőforrásra az Azure Portalon.

  2. Lépjen a privát végpont jóváhagyási oldalára:

    • Az SQL Server-erőforrásBiztonság területén válassza a Hálózatkezelés lehetőséget. Válassza a Privát hozzáférés lapot.
    • A Synapse-munkaterületen az erőforrásmenü Biztonság területén válassza a Privát végpontkapcsolatok lehetőséget.

  3. Az oldalon a következők láthatók:

    • Az összes privát végpontkapcsolat (PECs) listája
    • Privát végpontok (PE) létrehozása

    Képernyőkép a kiszolgálóerőforrás privát végpontkapcsolatainak listájáról.

  4. Ha nincsenek privát végpontok, hozzon létre egyet a Privát végpont létrehozása gombbal. Ellenkező esetben válasszon ki egy egyéni PEC-et a listából.

    Képernyőkép arról, hogyan választhat ki privát végpontkapcsolatot az Azure Portalon.

  5. Az SQL-rendszergazda dönthet úgy, hogy jóváhagy vagy elutasít egy PEC-et, és opcionálisan rövid szöveges választ ad hozzá.

    Képernyőkép a PEC jóváhagyásáról az Azure Portalon.

  6. A jóváhagyás vagy elutasítás után a lista a válasz szövegével együtt a megfelelő állapotot fogja tükrözni.

    Képernyőkép a PEC-ről a rendszergazda jóváhagyása után jóváhagyott állapotban.

  7. Végül válassza ki a privát végpont nevét

    Képernyőkép a PEC részleteiről a végpont nevével.

    Ez a privát végpont áttekintési oldalára viszi. Válassza a Hálózati adapterek hivatkozást a privát végpont kapcsolatának hálózati adapteradatainak lekéréséhez.

    Képernyőkép, amely a magánvégpont-kapcsolat hálózati adapterének részleteit mutatja.

    A Hálózati adapter lapon látható a privát végpontkapcsolat privát IP-címe.

    A privát végpont kapcsolat magánhálózati IP-címét bemutató képernyőkép.

Fontos

Privát végpontkapcsolat hozzáadásakor a logikai kiszolgáló nyilvános útválasztása alapértelmezés szerint nem lesz letiltva. A Tűzfal és a virtuális hálózatok panelen a nyilvános hálózati hozzáférés megtagadása beállítás alapértelmezés szerint nincs kiválasztva. A nyilvános hálózati hozzáférés letiltásához győződjön meg arról, hogy a nyilvános hálózati hozzáférés megtagadása lehetőséget választja.

A logikai kiszolgáló nyilvános hozzáférésének letiltása

Az Azure SQL Database logikai SQL-kiszolgálón tegyük fel, hogy le szeretné tiltani a logikai kiszolgálóhoz való összes nyilvános hozzáférést, és csak a virtuális hálózatról engedélyezi a kapcsolatokat.

Először győződjön meg arról, hogy a privát végpont kapcsolatai engedélyezve vannak és konfigurálva vannak. Ezután tiltsa le a logikai kiszolgáló nyilvános hozzáférését:

  1. Nyissa meg a logikai kiszolgáló hálózatkezelési oldalát.

  2. Jelölje be a Nyilvános hálózati hozzáférés megtagadása jelölőnégyzetet.

    Képernyőkép arról, hogyan tilthatja le a nyilvános hálózati hozzáférést a privát végpontkapcsolathoz.

Az SQL Database-hez való kapcsolódás tesztelése egy azure-beli virtuális gépről ugyanabban a virtuális hálózatban

Ebben a forgatókönyvben tegyük fel, hogy létrehozott egy Olyan Azure-beli virtuális gépet (virtuális gépet), amely a Windows legújabb verzióját futtatja ugyanabban a virtuális hálózaton, mint a privát végpont.

  1. Indítsa el a Távoli asztal (RDP) munkamenetet, és csatlakozzon a virtuális géphez.

  2. Ezután elvégezhet néhány alapvető kapcsolatellenőrzést annak érdekében, hogy a virtuális gép a privát végponton keresztül csatlakozzon az SQL Database-hez az alábbi eszközökkel:

Kapcsolat ellenőrzése a Telnet használatával

A Telnet-ügyfél egy Windows-szolgáltatás, amely a kapcsolatok tesztelésére használható. A Windows operációs rendszer verziójától függően előfordulhat, hogy explicit módon kell engedélyeznie ezt a funkciót.

A Telnet telepítése után nyisson meg egy parancssori ablakot. Futtassa a Telnet parancsot, és adja meg az adatbázis IP-címét és privát végpontját az SQL Database-ben.

telnet 10.9.0.4 1433

Ha a Telnet sikeresen csatlakozik, üres képernyőt ad ki a parancsablakban, ahogy az az alábbi képen is látható:

A Telnet ablakának diagramja üres képernyővel.

A kapcsolat ellenőrzéséhez használja a PowerShell-parancsot:

Test-NetConnection -computer myserver.database.windows.net -port 1433

Kapcsolat ellenőrzése a PsPing használatával

A PsPing az alábbiak szerint használható annak ellenőrzésére, hogy a privát végpont figyeli-e a kapcsolatokat az 1433-as porton.

A PsPing futtatásához adja meg a logikai SQL-kiszolgáló teljes tartománynevét és az 1433-as portot:

PsPing.exe mysqldbsrvr.database.windows.net:1433

Ez egy példa a várt kimenetre:

TCP connect to 10.9.0.4:1433:
5 iterations (warmup 1) ping test:
Connecting to 10.9.0.4:1433 (warmup): from 10.6.0.4:49953: 2.83ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49954: 1.26ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49955: 1.98ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49956: 1.43ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49958: 2.28ms

A kimenet azt mutatja, hogy a PsPing képes pingelni a privát végponthoz társított privát IP-címet.

Kapcsolat ellenőrzése Nmap használatával

Az Nmap (Network Mapper) egy ingyenes és nyílt forráskódú eszköz, amelyet a hálózatfelderítéshez és a biztonsági naplózáshoz használnak. További információkért és a letöltési hivatkozásért látogasson el https://Nmap.orgide. Ezzel az eszközzel meggyőződhet arról, hogy a privát végpont figyeli a kapcsolatokat az 1433-as porton.

Futtassa az Nmap parancsot az alábbiak szerint a privát végpontot üzemeltető alhálózat címtartományának megadásával.

Nmap -n -sP 10.9.0.0/24

Ez egy példa a várt kimenetre:

Nmap scan report for 10.9.0.4
Host is up (0.00s latency).
Nmap done: 256 IP addresses (1 host up) scanned in 207.00 seconds

Az eredmény azt mutatja, hogy egy IP-cím van felfelé; amely megfelel a privát végpont IP-címének.

Kapcsolat ellenőrzése az SQL Server Management Studióval (SSMS)

Megjegyzés:

Használja a kiszolgáló teljes tartománynevét (FQDN) az ügyfelek kapcsolati láncaiban (<server>.database.windows.net). A közvetlenül az IP-címre vagy a privát kapcsolat teljes tartománynevét (<server>.privatelink.database.windows.net) használó bejelentkezési kísérletek meghiúsulnak. Ez a viselkedés kialakítás szerint történik, mivel a privát végpont a régióban az SQL Gateway felé irányítja a forgalmat, és a bejelentkezések sikeres végrehajtásához meg kell adni a megfelelő teljes tartománynevet.

Kövesse az alábbi lépéseket az SSMS használatával az SQL Database-hez való csatlakozáshoz. Miután SSMS használatával csatlakozott az SQL Database-hez, a következő lekérdezésnek tükröznie kell client_net_address, amely megfelel a csatlakoztatni kívánt Azure-beli virtuális gép magánhálózati IP-címének:

SELECT client_net_address
FROM sys.dm_exec_connections
WHERE session_id = @@SPID;

Átirányítási kapcsolati szabályzat használata privát végpontokkal

Javasoljuk, hogy az ügyfelek a privát kapcsolatot az Átirányítás kapcsolati szabályzattal használják a kisebb késés és a jobb átviteli sebesség érdekében. Ahhoz, hogy a kapcsolatok ezt a módot használják, az ügyfeleknek meg kell felelniük a következő előfeltételeknek:

  • Engedélyezze a bejövő kommunikációt a privát végpontot üzemeltető virtuális hálózattal az 1433–65535-ös porttartományba.

  • Engedélyezze a kimenő kommunikációt az ügyfelet üzemeltető virtuális hálózatról az 1433-65535-ös porttartományba.

  • Használja az átirányítási támogatással rendelkező illesztőprogramok legújabb verzióját. Az átirányítási támogatás az ODBC, az OLE DB, a .NET SqlClient Data Provider, a Core .NET SqlClient Data Provider és a JDBC (9.4-es vagy újabb verzió) illesztőprogramok részét képezi. Az összes többi illesztőprogramtól származó kapcsolatot proxiálják.

Az előfeltétel teljesítése után az ügyfeleknek explicit módon kell kiválasztaniuk az Átirányítás kapcsolati szabályzatot. Ha a kapcsolati szabályzat átirányításra lett állítva a privát végpont beállítása előtt, előfordulhat, hogy a privát végpont beállítása után ki kell váltania a kapcsolati szabályzatot.

Ha nem lehetséges módosítani a tűzfalbeállításokat, hogy engedélyezve legyen a kimenő hozzáférés az 1433-65535-ös porttartományon, alternatív megoldásként módosítsa a kapcsolati házirendet proxyra.

Az Alapértelmezett kapcsolati szabályzatot használó meglévő privát végpontok a proxykapcsolati szabályzatot használják az 1433-as porton. Ennek az az oka, hogy elkerülhető, hogy az ügyfélforgalom ne érje el az SQL Database-t, mert az átirányításhoz szükséges porttartományok nem nyílnak meg.

Megjegyzés:

Dedikált SQL-készletek esetén a privát végpontok használatakor a kapcsolati szabályzat mindig proxy. A beállítás módosítása nem érinti a dedikált SQL-készleteket privát végpontok használatakor.

Helyszíni kapcsolat privát peeringen keresztül

Amikor az ügyfelek helyszíni gépekről csatlakoznak a nyilvános végponthoz, az IP-címüket kiszolgálószintű tűzfalszabály használatával kell hozzáadni az IP-alapú tűzfalhoz. Bár ez a modell jól működik arra, hogy elérhetőséget biztosítson a fejlesztési vagy tesztelési feladatokhoz szükséges egyes gépekhez, éles környezetben nehéz kezelni.

A Private Link segítségével az ügyfelek engedélyezhetik a különböző helyszínek közötti hozzáférést a privát végponthoz az ExpressRoute, a privát társviszony-létesítés vagy a VPN-alagutazás használatával. Az ügyfelek ezután letilthatják az összes hozzáférést a nyilvános végponton keresztül, és nem használhatják az IP-alapú tűzfalat az IP-címek engedélyezéséhez.

Az ügyfelek ugyanabból a virtuális hálózatból, egy régióban lévő társhálózatról, vagy virtuális hálózaton keresztül csatlakozhatnak a privát végponthoz a régiók közötti virtuális hálózati kapcsolathoz. Emellett az ügyfelek a helyszíni környezetből ExpressRoute, privát társviszony-létesítés vagy VPN-bújtatás használatával csatlakozhatnak. Az alábbi egyszerűsített diagram a gyakori használati eseteket mutatja be.

A kapcsolati lehetőség diagramja.

Emellett azok a szolgáltatások, amelyek nem közvetlenül a virtuális hálózaton futnak, de integrálva vannak vele (például App Service-webalkalmazások vagy Functions) privát kapcsolatot is létesíthetnek az adatbázissal. Az adott használati esettel kapcsolatos további információkért tekintse meg az Azure SQL Database-architektúra-forgatókönyvhöz privát kapcsolattal rendelkező webalkalmazást .

Csatlakozás egy Azure-beli virtuális gépről a társhálózatban

Konfigurálja a virtuális hálózatok közötti társviszony-létesítést az SQL-adatbázis eléréséhez egy Azure VM-ről egy társkapcsolt virtuális hálózatban.

Csatlakozás virtuális hálózatban lévő Azure-beli virtuális gépről virtuális hálózati környezethez

Konfigurálja a virtuális hálózatot virtuális hálózati VPN Gateway-kapcsolatra , hogy kapcsolatot létesítsen az SQL Database-ben lévő adatbázissal egy másik régióban vagy előfizetésben lévő Azure-beli virtuális gépről.

Csatlakozás helyszíni környezetből VPN-en keresztül

Ha helyszíni környezetből szeretne kapcsolatot létesíteni az SQL Database adatbázisával, válassza ki és implementálja az alábbi lehetőségek egyikét:

Fontolja meg a DNS-konfigurációs forgatókönyveket is, mivel a szolgáltatás teljes tartományneve nyilvános IP-címre is átirányítható.

Csatlakozás az Azure Synapse Analyticsből az Azure Storage-hoz a PolyBase és a COPY utasítás használatával

A PolyBase-t és a COPY utasítást gyakran használják adatok Azure Storage-fiókokból az Azure Synapse Analyticsbe való betöltéséhez. Ha az Azure Storage-fiók, amelyből adatot tölt be, csak virtuális hálózati alhálózatok egy csoportjához való hozzáférést korlátozza privát végpontokon, szolgáltatásvégpontokon vagy IP-alapú tűzfalakon keresztül, a kapcsolat a PolyBase és a COPY utasítás között megszakad. A virtuális hálózathoz védett Azure Storage-hoz csatlakozó Azure Synapse Analytics importálási és exportálási forgatókönyveinek engedélyezéséről lásd a virtuális hálózati szolgáltatásvégpontok Azure Storage-nal való használatának hatását.

Adatkiszivárgás megelőzése

Az Adatkiszivárgás az Azure SQL Database-ben akkor történik, amikor egy felhasználó, például egy adatbázis-rendszergazda képes adatokat kinyerni az egyik rendszerből, és áthelyezni egy másik helyre vagy rendszerre a szervezeten kívül. A felhasználó például áthelyezi az adatokat egy nem Microsoft-entitás tulajdonában lévő tárfiókba.

Fontolja meg azt a forgatókönyvet, amikor egy felhasználó SQL Server Management Studiót (SSMS) futtat egy Azure-beli virtuális gépen, amely egy SQL Database-adatbázishoz csatlakozik. Ez az adatbázis az USA nyugati adatközpontjában található. Az alábbi példa bemutatja, hogyan korlátozhatja a nyilvános végpontok hozzáférését az SQL Database-ben hálózati hozzáférés-vezérléssel.

  1. Tiltsa le az SQL Database-be a nyilvános végponton keresztüli összes Azure-szolgáltatás forgalmát az Azure Services kikapcsolásának engedélyezésével. Győződjön meg arról, hogy a kiszolgáló- és adatbázisszintű tűzfalszabályok nem engedélyezik az IP-címeket. További információ: Azure SQL Database és Azure Synapse Analytics hálózati hozzáférés-vezérlés.
  2. Csak a virtuális gép magánhálózati IP-címével engedélyezze az SQL Database-ben az adatbázisba történő forgalmat. További információt a szolgáltatásvégpontról és a virtuális hálózati tűzfalszabályokról szóló cikkekben talál.
  3. Az Azure-beli virtuális gépen az alábbiak szerint szűkítse le a kimenő kapcsolatok hatókörét hálózati biztonsági csoportok (NSG-k) és szolgáltatáscímkék használatával.
    • Adjon meg egy NSG-szabályt a forgalom engedélyezéséhez a szolgáltatáscímkéhez: SQL.WestUs – ezzel csak az SQL adatbázishoz való csatlakozást engedélyezze az Egyesült Államok nyugati részén.
    • Adjon meg egy ( magasabb prioritású) NSG-szabályt a Szolgáltatáscímke = SQL forgalom megtagadásához – az SQL Database-hez való csatlakozás megtagadása minden régióban.

A beállítás végén az Azure-beli virtuális gép csak az USA nyugati régiójában található SQL Database-adatbázishoz tud csatlakozni. A kapcsolat azonban nem korlátozódik egyetlen adatbázisra az SQL Database-ben. A virtuális gép továbbra is csatlakozhat az USA nyugati régiójában található bármely adatbázishoz, beleértve az előfizetés részét nem képező adatbázisokat is. Bár a fenti forgatókönyvben az adatkiszivárgás hatókörét egy adott régióra csökkentettük, még nem szüntettük meg teljesen.

A Private Link használatával az ügyfelek most már beállíthatnak hálózati hozzáférés-vezérléseket, például NSG-ket a privát végponthoz való hozzáférés korlátozásához. Az egyes Azure PaaS-erőforrások ezután meghatározott privát végpontokra lesznek leképezve. A rosszindulatú bennfentes csak a leképezett PaaS-erőforráshoz (például egy SQL Database-adatbázishoz) férhet hozzá, és nincs más erőforrás.

Kapcsolódó tartalom

  • Last updated on