Azure Private Link felügyelt Azure SQL-példányhoz

A következőkre vonatkozik:Azure SQL Managed Instance

• Azure SQL-adatbázis
• felügyelt Azure SQL-kezelőpéldány

Ez a cikk áttekintést nyújt a felügyelt Azure SQL-példány privát végpontjairól, valamint a konfigurálás lépéseiről. A privát végpontok biztonságos, elkülönített kapcsolatot létesítenek egy szolgáltatás és több virtuális hálózat között anélkül, hogy felfedik a szolgáltatás teljes hálózati infrastruktúráját.

Áttekintés

A Private Link egy Azure-technológia, amely elérhetővé teszi a felügyelt Azure SQL-példányt egy tetszőleges virtuális hálózaton. A hálózati rendszergazda létrehozhat egy privát végpontot a felügyelt Azure SQL-példányhoz a virtuális hálózatában, míg az SQL-rendszergazda úgy dönt, hogy elfogadja vagy elutasítja a végpontot, mielőtt az aktívvá válik. A privát végpontok biztonságos, elkülönített kapcsolatot létesítenek egy szolgáltatás és több virtuális hálózat között anélkül, hogy felfedik a szolgáltatás teljes hálózati infrastruktúráját.

Hogyan különböznek a privát végpontok a virtuális hálózat helyi végpontjaitól?

Az egyes felügyelt Azure SQL-példányokkal üzembe helyezett alapértelmezett virtuális hálózat helyi végpontja úgy viselkedik, mintha a szolgáltatást futtató számítógép fizikailag csatlakozik a virtuális hálózathoz. Közel teljes forgalomvezérlést tesz lehetővé útvonaltáblákon, hálózati biztonsági csoportokon, DNS-feloldáson, tűzfalakon és hasonló mechanizmusokon keresztül. Ezt a végpontot arra is használhatja, hogy bevonja a példányt az 1433-astól eltérő portokon, például feladatátvételi csoportokon, elosztott tranzakciókon és felügyelt példányokra mutató hivatkozáson való kapcsolódást igénylő forgatókönyvekben. Bár a virtuális hálózat helyi végpontja rugalmasságot biztosít, összetettebbé teszi az adott forgatókönyvek konfigurálását, különösen azokat, amelyek több virtuális hálózatot vagy bérlőt is érintenek.

Ezzel szemben a privát végpont beállítása olyan, mint egy fizikai hálózati kábel kiterjesztése egy felügyelt Azure SQL-példányt futtató számítógépről egy másik virtuális hálózatra. Ez a kapcsolati útvonal gyakorlatilag az Azure Private Link technológiával jön létre. Csak egy irányba engedélyezi a kapcsolatokat: a privát végponttól a felügyelt Azure SQL-példányig. Emellett csak az 1433-as porton (a szabványos TDS forgalmi porton) bonyolítja a forgalmat. Ily módon a felügyelt Azure SQL-példány elérhetővé válik egy másik virtuális hálózat számára anélkül, hogy hálózati társviszonyt kellene beállítania, vagy be kellene kapcsolnia a példány nyilvános végpontját. Még akkor is, ha a példányt egy másik alhálózatra helyezi át, a létrehozott privát végpontok továbbra is rá fognak mutatni.

Az Azure SQL Managed Instance által támogatott végponttípusok részletesebb ismertetését a Kommunikáció áttekintése című témakörben találja.

Mikor érdemes privát végpontokat használni?

A felügyelt Azure SQL-példány privát végpontjai biztonságosabbak, mint egy VNet-helyi végpont vagy nyilvános végpont használata, és egyszerűbbé teszik a fontos kapcsolati forgatókönyvek megvalósítását. Ezek a forgatókönyvek a következők:

• Airlock: A felügyelt Azure SQL-példány privát végpontjai ugrókiszolgálókkal és ExpressRoute-átjáróval rendelkező virtuális hálózaton vannak üzembe helyezve, biztosítva a helyszíni és a felhőbeli erőforrások közötti biztonságot és elkülönítést.
• Küllős topológia: A küllős virtuális hálózatok privát végpontjai az SQL-ügyfelek és -alkalmazások forgalmát egy központi virtuális hálózat felügyelt Azure SQL-példányai felé irányítják, így egyértelmű hálózatelkülönítést és a felelősség elkülönítését biztosítják.
• Közzétevő-fogyasztó: A Publisher-bérlő (például egy ISV) több felügyelt SQL-példányt kezel a virtuális hálózataiban. A Publisher privát végpontokat hoz létre más bérlők virtuális hálózataiban, hogy a példányokat elérhetővé tegye a felhasználók számára.
• Azure PaaS- és SaaS-szolgáltatások integrációja: Egyes PaaS- és SaaS-szolgáltatások, például az Azure Data Factory, létrehozhatnak és kezelhetnek privát végpontokat a felügyelt Azure SQL-példányban.

A privát végpontok VNet-helyi vagy nyilvános végpontokon való használatának előnyei a következők:

• IP-címek kiszámíthatósága: A felügyelt Azure SQL-példányhoz tartozó privát végponthoz rögzített IP-cím van hozzárendelve az alhálózat címtartományából. Ez az IP-cím akkor is statikus marad, ha a virtuális hálózat helyi és nyilvános végpontjainak IP-címe megváltozik.
• Részletes hálózati hozzáférés: A privát végpontok csak a virtuális hálózaton belül láthatók.
• Erős hálózatelkülönítés: Társviszony-létesítési forgatókönyv esetén a társhálózatok kétirányú kapcsolatot létesítenek, míg a privát végpontok egyirányúak, és nem teszik elérhetővé a hálózaton belüli hálózati erőforrásokat a felügyelt Azure SQL-példány számára.
• A címek átfedésének elkerülése: Több virtuális hálózat közötti társviszony-létesítéshez gondos IP-helykiosztásra van szükség, és problémát okozhat a címterek átfedése esetén.
• Ip-címtulajdon megőrzése: A privát végpontok csak egy IP-címet használnak fel az alhálózat címteréből.

Korlátozások

• Az Azure SQL felügyelt példány esetében a példány hosztnevének pontosan meg kell jelennie az SQL-kliens által küldött kapcsolati sztringben. A privát végpont IP-címének használata nem támogatott és sikertelen. A probléma megoldásához konfigurálja a DNS-kiszolgálót, vagy használjon privát DNS-zónát a tartománynévfeloldás beállítása a privát végponthoz című cikkben leírtak szerint.
• A DNS-nevek automatikus regisztrálása még nem támogatott. Kövesse inkább a tartománynévfeloldás beállítása privát végponthoz című témakörben leírt lépéseket.
• A felügyelt SQL-példány privát végpontjai csak az SQL-forgalom szabványos TDS-portjához, az 1433-as porthoz való csatlakozáshoz használhatók. A más portokon való kommunikációt igénylő összetettebb kapcsolati forgatókönyveket a példány VNet-helyi végpontján keresztül kell létrehozni.
• A felügyelt Azure SQL-példány privát végpontjaihoz speciális beállítás szükséges a szükséges DNS-feloldás konfigurálásához, a privát végpont tartománynévfeloldása beállításában leírtak szerint.
• A privát végpontok a kapcsolattípus-beállítástól függetlenül mindig a proxykapcsolat típusát használják.

Privát végpont létrehozása virtuális hálózaton

Ha privát végpontot szeretne létrehozni a felügyelt Azure SQL-példányhoz, szüksége lesz a példány erőforrás-azonosítójára és a cél alerőforrás-típusra (managedInstance). Az Azure Portal használatakor válassza a Microsoft.Sql/managedInstances erőforrástípust , a felügyelt példányt pedig célerőforrásként. A portál varázsló kezeli a többit.

Hozzon létre egy privát végpontot az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával:

• Azure Portál
• Azure PowerShell
• Azure CLI

Fontos

A privát végpont létrehozása után tartománynévfeloldási beállításokat is be kell állítania. Megfelelő DNS-konfiguráció nélkül a privát végponton keresztül a felügyelt példányhoz való kapcsolódási kísérletek meghiúsulnak.

A privát végpont létrehozása után előfordulhat, hogy jóvá kell hagynia annak létrehozását a cél virtuális hálózaton belül; lásd: Privát végpont létrehozására vonatkozó kérés áttekintése és jóváhagyása.

A felügyelt SQL-példány privát végpontjának teljes működőképességéhez kövesse az utasításokat a privát végpont tartománynévfeloldásához.

Privát végpont létrehozása PaaS- vagy SaaS-szolgáltatásban

Egyes Azure PaaS- és SaaS-szolgáltatások privát végpontokkal érhetik el az adatokat a környezetükből. Az ilyen szolgáltatásban (más néven "felügyelt privát végpont" vagy "felügyelt virtuális hálózat privát végpontja") privát végpont beállításának eljárása a szolgáltatások között változik. A rendszergazdának továbbra is felül kell vizsgálnia és jóvá kell hagynia a kérést a felügyelt Azure SQL-példányon, a felülvizsgálatban leírtak szerint, és jóvá kell hagynia egy privát végpont létrehozására irányuló kérést.

Megjegyzés:

Az Azure SQL Managed Instance igényli, hogy az SQL-ügyfél kapcsolati sztringjében a példány neve szerepeljen a tartománynév első szegmenseként (például: <instance-name>.<dns-zone>.database.windows.net). Azok a PaaS- és SaaS-szolgáltatások, amelyek az IP-címén keresztül próbálnak csatlakozni az Azure SQL Managed Instance privát végpontjaihoz, nem fognak tudni csatlakozni.

Bérlőközi privát végpont létrehozása

A felügyelt Azure SQL-példány privát végpontjai különböző Azure-bérlőkben is létrehozhatók. Ehhez annak a virtuális hálózatnak a rendszergazdájának, amelyben a privát végpontnak meg kell jelennie, először be kell szereznie annak a felügyelt Azure SQL-példánynak a teljes erőforrás-azonosítóját, amelytől privát végpontot kíván igényelni. Ezekkel az információkkal létrehozhat egy új privát végpontot a Private Link Centerben. Ahogy korábban is, a felügyelt Azure SQL-példány rendszergazdája egy kérést kap, amely alapján felülvizsgálhatják és jóváhagyhatják vagy elutasíthatják a privát végpont létrehozására vonatkozó kérést.

Privát végpont létrehozására irányuló kérés áttekintése és jóváhagyása

A privát végpont létrehozására irányuló kérést követően az SQL-rendszergazda kezelheti a felügyelt Azure SQL-példányhoz való privát végpontkapcsolatot. Az új privát végpontkapcsolat kezelésének első lépése a privát végpont áttekintése és jóváhagyása. Ez a lépés automatikus, ha a privát végpontot létrehozó felhasználó vagy szolgáltatás elegendő Azure RBAC-engedéllyel rendelkezik a felügyelt Azure SQL-példány erőforrásán. Ha a felhasználó nem rendelkezik megfelelő engedélyekkel, akkor a privát végpont felülvizsgálatát és jóváhagyását manuálisan kell elvégezni.

Privát végpont jóváhagyásához kövesse az alábbi lépéseket:

1. Nyissa meg a felügyelt Azure SQL-példányt az Azure Portalon.

2. A Biztonság területen válassza a Privát végpontkapcsolatok lehetőséget.

   

3. Tekintse át a függő állapotú kapcsolatokat, és jelölje be a jelölőnégyzetet, ha egy vagy több privát végpontkapcsolatot szeretne jóváhagyni vagy elutasítani.

   

4. Válassza a Jóváhagyás vagy az Elutasítás lehetőséget, majd válassza az Igen lehetőséget a műveletet ellenőrző párbeszédpanelen.

   

5. A kapcsolat jóváhagyása vagy elutasítása után a privát végpont kapcsolatlistája az aktuális privát végpontkapcsolat(ok) állapotát, valamint a Kérés/válasz üzenetet tükrözi.

   

Tartománynévfeloldás beállítása privát végponthoz

Miután létrehozott egy privát végpontot a felügyelt Azure SQL-példányhoz, konfigurálnia kell a tartománynévfeloldását. Ellenkező esetben a bejelentkezési kísérletek sikertelenek. Az alábbi módszer az Azure DNS-felbontást használó virtuális hálózatok esetében működik. Ha a virtuális hálózat egyéni DNS-kiszolgáló használatára van konfigurálva, módosítsa a lépéseket ennek megfelelően.

Ha egy magánvégpont tartománynév-feloldását egy olyan példányra szeretné beállítani, amelynek a VNet-lokális végpont tartományneve <instance-name>.<dns-zone>.database.windows.net, kövesse az ebben a szakaszban ismertetett két eljárás egyikét attól függően, hogy a példány és a magánvégpont ugyanabban a virtuális hálózatban vagy különböző virtuális hálózatokban található-e.

Fontos

Ne módosítsa, hogyan oldja fel a felügyelt Azure SQL-példány tartománynevének VNet-helyi végpontja a saját virtuális hálózatán belül. Ez megzavarja a példány felügyeleti műveletek végrehajtásának képességét.

Különböző virtuális hálózatok

Kövesse ezeket a lépéseket, ha a privát végpont és a felügyelt Azure SQL-példány különböző virtuális hálózatokban található.

A lépések elvégzése után az SQL-ügyfelek, amelyek a végpont virtuális hálózatán belülről csatlakoznak a <instance-name>.<dns-zone>.database.windows.net-hez, átláthatóan lesznek átirányítva a privát végponton.

1. Szerezze be a privát végpont IP-címét a Private Link Center felkeresésével vagy a következő lépések végrehajtásával:

   1. Nyissa meg a felügyelt Azure SQL-példányt az Azure Portalon.

   2. A Biztonság területen válassza a Privát végpontkapcsolatok lehetőséget.

   3. Keresse meg a privát végpontkapcsolatot a táblában, és válassza ki a választott kapcsolat privát végpontjának nevét .

      

   4. Az Áttekintés lapon válassza ki a hálózati adaptert.

      

   5. Az Áttekintés lapon ellenőrizze az Alapvető elemet a magánhálózati IP-cím azonosításához és másolásához.

      

2. Hozzon létre egy privát Azure DNS-zónát .privatelink.<dns-zone>.database.windows.net

3. Kapcsolja össze a privát DNS-zónát a végpont virtuális hálózatával.

4. A DNS-zónában hozzon létre egy új rekordkészletet a következő értékekkel:

   • Név: <instance-name>
   • Típus: A
   • IP-cím: Az előző készletben beszerzett privát végpont IP-címe

Ugyanazok a virtuális hálózatok

Ha a privát végpont és a felügyelt Azure SQL-példány ugyanabban a virtuális hálózaton található, a kiszolgáló tartományneve nem egyezik meg a példány TLS-tanúsítványával. A privát végponthoz való csatlakozáshoz konfigurálnia kell az ügyfeleket az alábbi módok egyikével:

• (Ajánlott) Állítsa be Encrypt=Strict és HostNameInCertificate a példány VNet-helyi tartománynevét.
• Állítsa be a Encrypt=Mandatory és a HostNameInCertificate értékét a példány VNet-helyi végpont tartománynevére.
• Állítsd be Encrypt=Mandatory és TrustServerCertificate=True (nem ajánlott éles használatra).
• Beállítás Encrypt=Optional (nem ajánlott).

Kövesse az alábbi lépéseket, ha a privát végpont és a felügyelt Azure SQL-példány ugyanabban a virtuális hálózaton található:

1. Szerezze be a privát végpont IP-címét a Private Link Center felkeresésével vagy a következő lépések végrehajtásával:

   1. Nyissa meg a felügyelt Azure SQL-példányt az Azure Portalon.
   2. A Biztonság területen válassza a Privát végpontkapcsolatok lehetőséget.
   3. Keresse meg a privát végpontkapcsolatot a táblában, és válassza ki a választott kapcsolat privát végpontjának nevét .

   

   1. Az *Áttekintés lapon válassza ki a hálózati adaptert.

   

   1. Az Áttekintés lapon ellenőrizze az Alapvető elemet a magánhálózati IP-cím azonosításához és másolásához.

   

2. Hozzon létre egy privát Azure DNS-zónátbármilyen más névenprivatelink.<dns-zone>.database.windows.net például: privatelink.site.

   Figyelmeztetés

   A privát DNS-zóna privatelink.<dns-zone>.database.windows.net elnevezése megzavarja a példány belső kapcsolatát, és a felügyeleti műveletek meghiúsulását okozza.

3. Kapcsolja össze a privát DNS-zónát a végpont virtuális hálózatával.

4. A DNS-zónában hozzon létre egy új rekordkészletet a következő értékekkel:

   • Név: <instance-name>
   • Típus: A
   • IP-cím: Az előző lépésekben beszerzett privát végpont IP-címe.

Kapcsolódó tartalom

• Azure SQL Kezelt Példány kapcsolati architektúrája
• Azure Private Link és privát végpontok
• Az Azure Private Link rendelkezésre állása