Virtuális hálózati szolgáltatásvégpontok és -szabályok használata kiszolgálókhoz az Azure SQL Database-ben

A következőkre vonatkozik:Azure SQL DatabaseAzure Synapse Analytics

virtuális hálózati szabályok tűzfalbiztonsági funkció, amely azt szabályozza, hogy a Azure SQL Database adatbázisainak és rugalmas készleteinek kiszolgálója vagy az Azure Synapse Analytics dedikált SQL-készlete (korábbi nevén SQL DW)-adatbázisai fogadják-e a virtuális hálózatok bizonyos alhálózataiból küldött kommunikációt. Ez a cikk azt ismerteti, hogy a virtuális hálózati szabályok miért a legjobb megoldás az adatbázissal való kommunikáció biztonságossá tételéhez az SQL Database-ben és az Azure Synapse Analyticsben.

Jegyzet

Ez a cikk az SQL Database-re és az Azure Synapse Analyticsre is vonatkozik. Az egyszerűség kedvéért az adatbázis kifejezés az SQL Database-ben és az Azure Synapse Analyticsben lévő adatbázisokra is vonatkozik. Hasonlóképpen, a kiszolgálóra hivatkozás az SQL Database-t és az Azure Synapse Analyticset üzemeltető logikai kiszolgálóra hivatkozik.

Virtuális hálózati szabály létrehozásához először virtuális hálózati szolgáltatásvégpontnak kell lennie a szabály hivatkozásához.

Jegyzet

Microsoft Entra ID korábban Azure Active Directory (Azure AD) néven ismert.

Virtuális hálózati szabály létrehozása

Ha csak virtuális hálózati szabályt szeretne létrehozni, ugorjon a jelen cikk későbbi, lépéseire és magyarázatára.

A virtuális hálózati szabályok részletei

Ez a szakasz a virtuális hálózati szabályok számos részletét ismerteti.

Csak egy földrajzi régió

Minden virtuális hálózati szolgáltatásvégpont csak egy Azure-régióra vonatkozik. A végpont nem teszi lehetővé más régiók számára, hogy elfogadják az alhálózatról érkező kommunikációt.

Minden virtuális hálózati szabály arra a régióra korlátozódik, amelyre az alapul szolgáló végpont vonatkozik.

Kiszolgálói szint, nem adatbázisszint

Minden egyes virtuális hálózati szabály a teljes kiszolgálóra vonatkozik, nem csak a kiszolgálón található egy adott adatbázisra. Más szóval a virtuális hálózati szabályok a kiszolgáló szintjén érvényesek, nem az adatbázis szintjén.

Ezzel szemben az IP-szabályok mindkét szinten alkalmazhatók.

Biztonsági felügyeleti szerepkörök

A virtuális hálózati szolgáltatásvégpontok felügyelete során a biztonsági szerepkörök különváltak. Az alábbi szerepkörök mindegyikétől intézkedés szükséges:

  • hálózati rendszergazda (hálózati közreműködői szerepkör): Kapcsolja be a végpontot.
  • adatbázis-rendszergazda (SQL Server-közreműködői szerepkör): Frissítse a hozzáférés-vezérlési listát (ACL) a megadott alhálózat kiszolgálóhoz való hozzáadásához.

Azure RBAC alternatíva

A hálózati rendszergazda és az adatbázis-rendszergazda szerepkörei több képességekkel rendelkeznek, mint amennyi a virtuális hálózati szabályok kezeléséhez szükséges. Csak a képességeik egy részhalmazára van szükség.

Az Azure-ban szerepköralapú hozzáférés-vezérlési (RBAC) használatával létrehozhat egyetlen egyéni szerepkört, amely csak a szükséges képességek részhalmazával rendelkezik. Az egyéni szerepkör használható a hálózati rendszergazda vagy az adatbázis-rendszergazda bevonása helyett. A biztonsági kitettség felülete alacsonyabb, ha felhasználót ad hozzá egy egyéni szerepkörhöz, és nem adja hozzá a felhasználót a másik két fő rendszergazdai szerepkörhöz.

Jegyzet

Bizonyos esetekben az SQL Database adatbázisa és a virtuális hálózati alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

  • A felhasználó rendelkezik a szükséges engedélyekkel a műveletek indításához, például a szolgáltatásvégpontok engedélyezéséhez és egy virtuális hálózati alhálózat hozzáadásához az adott kiszolgálóhoz.
  • Mindkét előfizetéshez regisztrálnia kell a Microsoft.Sql-szolgáltatót.

Korlátozások

Az SQL Database esetében a virtuális hálózati szabályok szolgáltatása a következő korlátozásokkal rendelkezik:

  • Az SQL Database adatbázisának tűzfalán minden virtuális hálózati szabály egy alhálózatra hivatkozik. Ezeket a hivatkozott alhálózatokat ugyanabban a földrajzi régióban kell üzemeltetni, amely az adatbázist üzemelteti.
  • Minden kiszolgáló legfeljebb 128 ACL-bejegyzéssel rendelkezhet bármely virtuális hálózathoz.
  • A virtuális hálózati szabályok csak az Azure Resource Manager-alapú virtuális hálózatokra vonatkoznak, és nem klasszikus üzemi modell hálózatokra.
  • A virtuális hálózati szolgáltatásvégpontok SQL Database-re való bekapcsolása lehetővé teszi az Azure Database for MySQL és az Azure Database for PostgreSQL végpontjait is. Ha a végpontok ONértékre van állítva, a végpontokról az Azure Database for MySQL-hez vagy az Azure Database for PostgreSQL-példányokhoz való kapcsolódás sikertelen lehet.
    • Ennek az az oka, hogy az Azure Database for MySQL és az Azure Database for PostgreSQL valószínűleg nem rendelkezik konfigurált virtuális hálózati szabálysal. Konfigurálnia kell egy virtuális hálózati szabályt az Azure Database for MySQL-hez és az Azure Database for PostgreSQL-hez.
    • Ha olyan SQL logikai kiszolgálón szeretne virtuális hálózati tűzfalszabályokat definiálni, amely már konfigurálva van privát végpontokkal, állítsa Nyilvános hálózati hozzáférés megtagadásaNincsértékre.
  • A tűzfalon az IP-címtartományok a következő hálózati elemekre vonatkoznak, de a virtuális hálózati szabályok nem:
  • Mindkét előfizetésnek ugyanabban a Microsoft Entra-szervezetben kell lennie.

A szolgáltatásvégpontok használatakor megfontolandó szempontok

Amikor szolgáltatásvégpontokat használ az SQL Database-hez, tekintse át az alábbi szempontokat:

  • Az Azure SQL Database nyilvános IP-címére kimenő forgalom szükséges. A hálózati biztonsági csoportokat (NSG-ket) meg kell nyitni az SQL Database IP-címei felé a kapcsolat engedélyezéséhez. Az SQL Database esetén NSG szolgáltatáscímkék használatával teheti meg ezt.

ExpressRoute

Ha a helyszínen az ExpressRoute-t használja nyilvános kapcsolódáshoz vagy Microsoft kapcsolódáshoz, azonosítania kell a NAT IP-címeket, amelyeket használ. Nyilvános társviszony-létesítés esetén minden ExpressRoute-kapcsolatcsoport alapértelmezés szerint két NAT IP-címet használ az Azure-szolgáltatás forgalmára, amikor a forgalom belép a Microsoft Azure hálózati gerinchálózatába. Microsoft-társviszony-létesítés esetén a használt NAT IP-címeket az ügyfél vagy a szolgáltató adja meg. A szolgáltatás erőforrásaihoz való hozzáférés engedélyezéséhez engedélyeznie kell ezeket a nyilvános IP-címeket az erőforrás IP-tűzfalbeállításában. A nyilvános peering ExpressRoute-kör IP-címeinek megkereséséhez nyisson meg egy támogatási jegyet az ExpressRoute az Azure Portalon keresztül. Az ExpressRoute nyilvános és Microsoft társviszony-létesítés NAT használatáról további információt a Azure nyilvános társviszony-létesítés NAT-követelményeit ismertetőcikkben talál.

A kapcsolatcsoport és az SQL Database közötti kommunikáció engedélyezéséhez IP-hálózati szabályokat kell létrehoznia a NAT nyilvános IP-címéhez.

A virtuális hálózati szolgáltatásvégpontok Azure Storage-beli használatának hatása

Az Azure Storage ugyanazt a funkciót implementálta, amely lehetővé teszi az Azure Storage-fiókhoz való kapcsolódás korlátozását. Ha úgy dönt, hogy ezt a funkciót az SQL Database által használt Azure Storage-fiókkal használja, problémákba ütközhet. A következő az SQL Database és az Azure Synapse Analytics azon funkcióinak listája és megvitatása, amelyekre ez hatással van.

Azure Synapse Analytics PolyBase és COPY utasítás

A PolyBase és a COPY utasítás gyakran használják az Azure Storage-fiókokból származó adatok Azure Synapse Analyticsbe való betöltésére a nagy átviteli sebességű adatbetöltés érdekében. Ha az az Azure Storage-fiók, amelyről adatokat tölt be, csak egy adott virtuális hálózati alhálózathoz engedélyez hozzáférést, akkor a PolyBase és a COPY utasítás használatakor a kapcsolódás megszakad a tárfiókhoz. Ha engedélyezni szeretné az importálási és exportálási forgatókönyveket a COPY és a PolyBase használatával az Azure Synapse Analytics használatával, amely egy virtuális hálózathoz védett Azure Storage-hoz csatlakozik, kövesse az ebben a szakaszban leírt lépéseket.

Előfeltételek

  • Telepítse az Azure PowerShellt. További információ: Az Azure Az PowerShell-modul telepítése.
  • Ha általános célú v1- vagy Azure Blob Storage-fiókkal rendelkezik, először általános célú v2-re kell frissítenie a Frissítés általános célú v2-tárfiókralépéseit követve.
  • Az Azure Storage-fiók Tűzfalak és virtuális hálózatok beállítások menüjében be kell kapcsolva lennie a "Megbízható Microsoft-szolgáltatások számára a tárfiók elérésének engedélyezése" opciónak. A konfiguráció engedélyezésével a PolyBase és a COPY utasítás erős hitelesítéssel csatlakozhat a tárfiókhoz, ahol a hálózati forgalom az Azure gerincén marad. További információért lásd: ezt az útmutatót.

Fontos

A PowerShell Azure Resource Manager (AzureRM) modult 2024. február 29-én megszüntették. Minden jövőbeli fejlesztésnek az Az.Sql modult kell használnia. Javasoljuk a felhasználóknak, hogy migráljanak az AzureRM-ből az Az PowerShell-modulba a folyamatos támogatás és frissítések biztosítása érdekében. Az AzureRM-modult a továbbiakban nem tartjuk karban vagy támogatjuk. Az Az PowerShell-modulban és az AzureRM-modulokban található parancsok argumentumai lényegében azonosak. További információ a kompatibilitásukról: Az új Az PowerShell-modul bemutatása.

Lépések

  1. Ha önálló dedikált SQL-készlettel (korábban SQL DW) rendelkezik, regisztrálja az SQL Servert a Microsoft Entra ID-val a PowerShell használatával:

    Connect-AzAccount
Select-AzSubscription -SubscriptionId <subscriptionId>
Set-AzSqlServer -ResourceGroupName your-database-server-resourceGroup -ServerName your-SQL-servername -AssignIdentity

    Ez a lépés nem szükséges az Azure Synapse Analytics-munkaterület dedikált SQL-készleteihez. A munkaterület rendszer által hozzárendelt felügyelt identitása (SA-MI) a Synapse rendszergazdai szerepkör tagja, így emelt szintű jogosultságokkal rendelkezik a munkaterület dedikált SQL-készleteihez.

  2. Hozzunk létre egy általános célú v2-tárfiókot a tárfiók létrehozása című lépéseit követve.

  3. A tárfiók lapján válassza Hozzáférés-vezérlés (IAM)lehetőséget.

  4. Válassza a lehetőséget, adja hozzá a>elemeket a szerepkör-hozzárendeléshez, hogy megnyissa a Szerepkör-hozzárendelés hozzáadása lapot.

  5. Rendelje hozzá a következő szerepkört. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése az Azure Portalhasználatával.

    Beállítás Érték
    Szerep Tárolási blobadatok közreműködője
    Hozzáférés hozzárendelése Felhasználó, csoport vagy szolgáltatásnév
    Tagok A Microsoft Entra ID azonosítóval regisztrált dedikált SQL-készletet üzemeltető kiszolgáló vagy munkaterület

    Képernyőkép a szerepkör-hozzárendelés hozzáadás lapról az Azure portálon.

    Jegyzet

    Ezt a lépést csak a tárfiók tulajdonosi jogosultsággal rendelkező tagjai hajthatják végre. A különböző beépített Azure-szerepkörökért lásd Beépített Azure-szerepköröket.

  6. PolyBase-kapcsolat engedélyezése az Azure Storage-fiókhoz:

    1. Ha korábban még nem hozott létre adatbázist, főkulcsot.

      CREATE MASTER KEY [ENCRYPTION BY PASSWORD = 'somepassword'];

    2. Hozzon létre egy adatbázis-hatókörű hitelesítő adatot IDENTITY = "Managed Service Identity".

      CREATE DATABASE SCOPED CREDENTIAL msi_cred WITH IDENTITY = 'Managed Service Identity';

      • A SECRET-t nem kell Azure Storage-hozzáférési kulccsal megadni, mert ez a mechanizmus felügyelt identitást használ a fedelek alatt. Ez a lépés nem szükséges az Azure Synapse Analytics-munkaterület dedikált SQL-készleteihez. A munkaterület rendszer által hozzárendelt felügyelt identitása (SA-MI) a Synapse rendszergazdai szerepkör tagja, így emelt szintű jogosultságokkal rendelkezik a munkaterület dedikált SQL-készleteihez.

      • Az IDENTITÁS nevének "Felügyelt Szolgáltatási Identitás" kell lennie ahhoz, hogy a PolyBase-kapcsolat egy virtuális hálózathoz védett Azure Storage-fiókkal működjön.

    3. Hozzon létre egy külső adatforrást a abfss:// sémával az általános célú v2-tárfiókhoz való csatlakozáshoz a PolyBase használatával.

      CREATE EXTERNAL DATA SOURCE ext_datasource_with_abfss WITH (TYPE = hadoop, LOCATION = 'abfss://myfile@mystorageaccount.dfs.core.windows.net', CREDENTIAL = msi_cred);
      • Ha már rendelkezik külső táblákkal egy általános célú v1 vagy Blob Storage-fiókhoz, először el kell helyeznie ezeket a külső táblákat. Ezután dobja el a megfelelő külső adatforrást. Ezután hozzon létre egy külső adatforrást a korábban bemutatott abfss:// sémával, amely egy általános célú v2-tárfiókhoz csatlakozik. Ezután hozza létre újra az összes külső táblát ezzel az új külső adatforrással. A Szkriptek létrehozása és közzététele varázsló használatával hozhat létre szkripteket az összes külső táblához a könnyebb használat érdekében.
      • A abfss:// sémával kapcsolatos további információkért lásd: Az Azure Data Lake Storage Gen2 URIhasználata.
      • További információ a T-SQL-parancsokról: CREATE EXTERNAL DATA SOURCE.

    4. A lekérdezést a szokásos módon, a külső táblákhasználatával végezzük.

SQL-adatbázis-blobnaplózás

Az Azure SQL naplózás képes SQL-naplókat saját tárfiókjába írni. Ha ez a tárfiók a virtuális hálózati szolgáltatásvégpontok funkciót használja, tekintse meg, hogyan naplót írni egy virtuális hálózat és tűzfal mögötti tárfiókba.

Virtuális hálózati tűzfalszabály hozzáadása a kiszolgálóhoz

Már régen, a funkció továbbfejlesztése előtt be kellett kapcsolnia a virtuális hálózati szolgáltatásvégpontokat, mielőtt élő virtuális hálózati szabályt implementálhatott volna a tűzfalon. A végpontok egy adott virtuális hálózati alhálózatot kapcsoltak egy SQL Database-adatbázishoz. 2018 januárjától megkerülheti ezt a követelményt a IgnoreMissingVNetServiceEndpoint jelző beállításával. Most hozzáadhat egy virtuális hálózati tűzfalszabályt a kiszolgálóhoz anélkül, hogy bekapcsolná a virtuális hálózati szolgáltatásvégpontokat.

A tűzfalszabály beállítása nem segít a kiszolgáló védelmében. A biztonság érvénybe lépéséhez be kell kapcsolnia a virtuális hálózati szolgáltatásvégpontokat is. A szolgáltatásvégpontok bekapcsolásakor a virtuális hálózat alhálózata állásidőt tapasztal, amíg be nem fejeződik a ki- és bekapcsolt állapotra váltás. Ez az állásidő különösen jellemző a nagy virtuális hálózatokban. Az IgnoreMissingVNetServiceEndpoint jelző használatával csökkentheti vagy megszüntetheti az átmenet során a szolgáltatáskimaradást.

Az IgnoreMissingVNetServiceEndpoint jelzőt a PowerShell használatával állíthatja be. További információ: PowerShell, amely virtuális hálózati szolgáltatásvégpontot és szabályt hoz létre az SQL Databaseszámára.

Jegyzet

Az Azure Synapse Analyticsben hasonló utasításokért lásd Azure Synapse Analytics IP-tűzfalszabályokat

Virtuális hálózati szabály létrehozása az Azure Portal használatával

Ebben a szakaszban bemutatjuk, hogyan használhatja az Azure Portalt, hogy létrehozzon egy virtuális hálózati szabályt a SQL-adatbázisában. A szabály arra utasítja az adatbázist, hogy fogadja el a kommunikációt egy adott alhálózatról, amely virtuális hálózati szolgáltatásvégpontként van megjelölve.

Jegyzet

Ha szolgáltatásvégpontot szeretne hozzáadni a kiszolgáló virtuális hálózati tűzfalszabályaihoz, először győződjön meg arról, hogy a szolgáltatásvégpontok be vannak kapcsolva az alhálózaton.

Ha a szolgáltatásvégpontok nincsenek bekapcsolva az alhálózaton, a portál megkéri, hogy engedélyezze őket. Válassza a engedélyezése gombot azon a panelen, amelyen a szabályt hozzáadja.

Előfeltételek

Már rendelkeznie kell egy olyan alhálózattal, amely az SQL Database-hez kapcsolódó adott virtuális hálózati szolgáltatásvégpont típus névvel van megjelölve.

Az Azure Portal lépései

  1. Jelentkezzen be a Azure portálra.

  2. Keresse meg és válassza ki SQL-kiszolgálókat, majd válassza ki a kiszolgálót. A Biztonságiterületen válassza a Hálózatkezelésilehetőséget.

  3. A Nyilvános hozzáférés lapon győződjön meg arról, hogy Nyilvános hálózati hozzáférésHálózatok kiválasztásaértékre van állítva, ellenkező esetben a virtuális hálózatok beállításai rejtve vannak. Válassza a + Meglévő virtuális hálózati hozzáadása lehetőséget a Virtuális hálózatok szakaszban.

    A hálózatkezelés logikai kiszolgálói tulajdonságait bemutató képernyőkép.

  4. Az új Létrehozás/frissítés panelen töltse ki a mezőket az Azure-erőforrások nevével.

    Borravaló

    Meg kell adnia az alhálózat megfelelő címelőtagját. A Cím előtag értéket a portálon találja. Navigáljon Minden erőforrás>Minden típus>Virtuális hálózatok. A szűrő megjeleníti a virtuális hálózatokat. Jelölje ki a virtuális hálózatot, majd válassza Alhálózatoklehetőséget. A CÍMTARTOMÁNY oszlop tartalmazza a cím előtagját, amire szüksége van.

    Képernyőkép, amelyen az új szabály mezőinek kitöltése látható.

  5. Tekintse meg az eredményként kapott virtuális hálózati szabályt a Tűzfal panelen.

    Képernyőkép, amelyen az új szabály látható a Tűzfal panelen.

  6. Állítsa be az Azure-szolgáltatások és -erőforrások hozzáférésének engedélyezését ehhez a szerverhezNemértékre.

    Fontos

    Ha Engedélyezi, hogy az Azure-szolgáltatások és erőforrások hozzáférjenek ehhez a kiszolgálóhoz bejelölve, a kiszolgáló elfogadja a kommunikációt az Azure határán belüli bármely alhálózatról. Ez az a kommunikáció, amely az Azure-adatközpontokhoz meghatározott tartományokon belül felismert IP-címek egyikéből származik. A vezérlő engedélyezésének engedélyezése biztonsági szempontból túlzott hozzáférés lehet. Az SQL Database virtuális hálózati szabályok funkciójával összehangolt Microsoft Azure virtuális hálózati szolgáltatásvégpont-funkció együttesen csökkentheti a biztonsági felület területét.

  7. Válassza az OK gombot a panel alján.

Jegyzet

A szabályokra a következő állapotok vagy állapotok vonatkoznak:

  • Kész: Azt jelzi, hogy a kezdeményezett művelet sikeres volt.
  • Sikertelen: Azt jelzi, hogy a kezdeményezett művelet meghiúsult.
  • Törölt: Csak a Delete műveletre vonatkozik, és azt jelzi, hogy a szabály törölve lett, és már nem érvényes.
  • Folyamatban: Azt jelzi, hogy a művelet folyamatban van. A régi szabály akkor érvényes, ha a művelet ebben az állapotban van.

Virtuális hálózati szabály létrehozása a PowerShell használatával

Egy szkript is létrehozhat virtuális hálózati szabályokat a PowerShell-parancsmag New-AzSqlServerVirtualNetworkRule vagy az network vnet createsegítségével. További információ: PowerShell, amely virtuális hálózati szolgáltatásvégpontot és szabályt hoz létre az SQL Databaseszámára.

Virtuális hálózati szabály létrehozása a REST API használatával

Az SQL virtuális hálózati műveletek PowerShell-parancsmagjai belsőleg REST API-kat hívnak. A REST API-kat közvetlenül is meghívhatja. További információ: Virtuális hálózati szabályok: Műveletek.

A 40914-ös és a 40615-ös hibák elhárítása

A 40914-es kapcsolati hiba a virtuális hálózati szabályokkalkapcsolatos, az Azure portál tűzfal paneljén megadottak szerint.
A 40615-ös hiba hasonló, kivéve, hogy a tűzfalon a IP-címszabályokra vonatkozik.

40914-s hiba

Üzenet szövege: "Nem nyitható meg a kiszolgáló '[kiszolgálónév]', amelyet a bejelentkezés kért. Az ügyfél nem férhet hozzá a kiszolgálóhoz."

Hiba leírása: Az ügyfél egy virtuális hálózati kiszolgálóvégpontokkal rendelkező alhálózatban található. A kiszolgálónak azonban nincs olyan virtuális hálózati szabálya, amely jogot biztosít az alhálózatnak az adatbázissal való kommunikációra.

Hibamegoldás: Az Azure Portal tűzfal paneljén a virtuális hálózati szabályok vezérlőjének használatával adjon hozzá egy virtuális hálózati szabályt az alhálózathoz.

40615-ös hiba

Üzenet szövege: A bejelentkezés által kért '{0}' kiszolgáló nem nyitható meg. Az "{1}" IP-címmel rendelkező ügyfél nem férhet hozzá a kiszolgálóhoz."

Hiba leírása: Az ügyfél olyan IP-címről próbál csatlakozni, amely nem jogosult a kiszolgálóhoz való csatlakozásra. A kiszolgáló tűzfala nem rendelkezik IP-címszabálysal, amely lehetővé teszi az ügyfél számára, hogy a megadott IP-címről kommunikáljon az adatbázissal.

Hibamegoldás: Adja meg az ügyfél IP-címét IP-szabályként. Ezt a lépést az Azure Portal tűzfal paneljén teheti meg.

Következő lépések

  • Last updated on