Szolgáltatásvégpont-szabályzatok (előzetes verzió) konfigurálása felügyelt Azure SQL-példányhoz
A következőre vonatkozik: Felügyelt Azure SQL-példány
A virtuális hálózat (VNet) Azure Storage-szolgáltatásvégpont-szabályzatai lehetővé teszik a kimenő virtuális hálózati forgalom szűrését az Azure Storage-ba, korlátozva az adatátvitelt adott tárfiókokra.
A végpontszabályzatok konfigurálásának és a felügyelt SQL-példánnyal való társításuknak a képessége jelenleg előzetes verzióban érhető el.
Fő előnyök
A felügyelt Azure SQL-példány virtuális hálózati Azure Storage-szolgáltatásvégpont-szabályzatainak konfigurálása a következő előnyöket nyújtja:
Az Azure SQL Managed Instance Azure Storage-ba irányuló forgalmának fokozott biztonsága: A végpontszabályzatok olyan biztonsági vezérlőt hoznak létre, amely megakadályozza az üzleti szempontból kritikus fontosságú adatok hibás vagy rosszindulatú kiszivárgását. A forgalom csak azokra a tárfiókokra korlátozható, amelyek megfelelnek az adatszabályozási követelményeknek.
Részletes szabályozás a tárfiókok eléréséről: A szolgáltatásvégpont-szabályzatok lehetővé teszik a tárfiókok felé irányuló adatforgalmat előfizetés, erőforráscsoport és egyéni tárfiók szintjén. A rendszergazdák szolgáltatásvégpont-szabályzatokkal kényszeríthetik a szervezet adatbiztonsági architektúrájának betartását az Azure-ban.
A rendszerforgalom továbbra sem változik: A szolgáltatásvégpont-szabályzatok soha nem akadályozzák a felügyelt Azure SQL-példány működéséhez szükséges tárolóhoz való hozzáférést. Ez magában foglalja a biztonsági mentések, adatfájlok, tranzakciónapló-fájlok és egyéb eszközök tárolását.
Fontos
A szolgáltatásvégpont-szabályzatok csak a felügyelt SQL-példány alhálózatából származó és az Azure Storage-ban leálló forgalmat szabályozzák. A szabályzatok nem érintik például az adatbázis helyszíni BACPAC-fájlba való exportálását, az Azure Data Factory integrációját, a diagnosztikai információk Azure Diagnosztikai beállításokon keresztüli gyűjtését vagy az Azure Storage-t közvetlenül nem célzó adatkinyerési mechanizmusokat.
Korlátozások
A felügyelt Azure SQL-példány szolgáltatásvégpont-szabályzatainak engedélyezése a következő korlátozásokkal rendelkezik:
- Az előzetes verzióban a szolgáltatásvégpont-szabályzat alhálózaton való elhelyezése megzavarja az alhálózat példányainak azon képességét, hogy időponthoz kötött visszaállításokat (PITR) hajtsanak végre egy másik alhálózat egy példányából. A szolgáltatásvégpont-házirendek azonban nem akadályozzák meg, hogy más alhálózatok példányai visszaállítsák az alhálózat biztonsági másolatait.
- Az előzetes verzióban ez a funkció minden olyan Azure-régióban elérhető, ahol a felügyelt SQL-példány támogatott, kivéve a China East 2, China North 2, Central US EUAP, East US 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia és az USA nyugati középső régiója kivételével.
- A szolgáltatás csak az Azure Resource Manager-alapú üzemi modellel üzembe helyezett virtuális hálózatokon érhető el.
- A funkció csak olyan alhálózatokon érhető el, amelyeken engedélyezve vannak az Azure Storage szolgáltatásvégpontjai .
- Ha szolgáltatásvégpont-szabályzatot rendel egy szolgáltatásvégponthoz, az frissíti a végpontot regionálisról globális hatókörre. Más szóval az Azure Storage felé történő összes forgalom a szolgáltatásvégponton halad végig, függetlenül attól, hogy melyik régióban található a tárfiók.
- A tárfiók engedélyezése automatikusan engedélyezi a másodlagos RA-GRS-hez való hozzáférést.
Tárolóleltár előkészítése
Mielőtt elkezdené konfigurálni a szolgáltatásvégpont-szabályzatokat egy alhálózaton, írjon egy listát azokról a tárfiókokról, amelyekhez a felügyelt példánynak hozzáféréssel kell rendelkeznie az alhálózatban.
Az alábbiakban felsoroljuk az Azure Storage-hoz esetlegesen kapcsolódó munkafolyamatokat:
- Naplózás az Azure Storage-ba.
- Csak másolati biztonsági mentés végrehajtása az Azure Storage-ba.
- Adatbázis visszaállítása az Azure Storage-ból.
- Adatok importálása BULK INSERT vagy OPENROWSET(BULK ...)használatával.
- Bővített események naplózása eseményfájl-tárolóba az Azure Storage-ban.
- Azure DMS offline migrálása felügyelt Azure SQL-példányra.
- Log Replay Service migrálása felügyelt Azure SQL-példányba.
- Táblák szinkronizálása tranzakciós replikációval.
Jegyezze fel a fiók nevét, erőforráscsoportját és előfizetését minden olyan tárfiókhoz, amely részt vesz ezekben vagy bármely más, a tárterülethez hozzáférő munkafolyamatban.
Szabályzatok konfigurálása
Először létre kell hoznia a szolgáltatásvégpont-szabályzatot, majd társítania kell a szabályzatot a felügyelt SQL-példány alhálózatával. Módosítsa az ebben a szakaszban található munkafolyamatot az üzleti igényeinek megfelelően.
Megjegyzés:
- A felügyelt SQL-példány alhálózatai megkövetelik, hogy a szabályzatok tartalmazzák a /Services/Azure/ManagedInstance szolgáltatás aliasát (lásd az 5. lépést).
- A szolgáltatásvégpont-szabályzatokat már tartalmazó alhálózaton üzembe helyezett felügyelt példányok automatikusan frissítik a /Services/Azure/ManagedInstance szolgáltatás aliasát.
Szolgáltatásvégpont-szabályzat létrehozása
Szolgáltatásvégpont-szabályzat létrehozásához kövesse az alábbi lépéseket:
Jelentkezzen be az Azure Portalra.
Válassza a + Erőforrás létrehozása lehetőséget.
A keresési panelen adja meg a szolgáltatásvégpont-szabályzatot, válassza a Szolgáltatásvégpont-szabályzat lehetőséget, majd válassza a Létrehozás lehetőséget.
Töltse ki a következő értékeket az Alapismeretek lapon:
- Előfizetés: Válassza ki a szabályzat előfizetését a legördülő listából.
- Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amelyben a felügyelt példány található, vagy válassza az Új létrehozása lehetőséget, és adja meg egy új erőforráscsoport nevét.
- Név: Adjon nevet a szabályzatnak, például a mySEP-nek.
- Hely: Válassza ki a felügyelt példányt üzemeltető virtuális hálózat régióját.
A Szabályzatdefiníciókban válassza az Alias hozzáadása lehetőséget, és adja meg az alábbi adatokat az Alias hozzáadása panelen:
- Szolgáltatás aliasa: Válassza a /Services/Azure/ManagedInstance lehetőséget.
- Válassza a Hozzáadás lehetőséget a szolgáltatás aliasának hozzáadásának befejezéséhez.
A Szabályzatdefiníciókban válassza a + Hozzáadás lehetőséget az Erőforrások területen, és adja meg vagy válassza ki az alábbi információkat az Erőforrás hozzáadása panelen:
- Szolgáltatás: Válassza a Microsoft.Storage lehetőséget.
- Hatókör: Válassza ki az előfizetés összes fiókját.
- Előfizetés: Válasszon ki egy olyan előfizetést, amely tartalmazza az engedélyezni kívánt tárfiók(ok)t. Tekintse meg a korábban létrehozott Azure Storage-fiókok leltárát.
- Az erőforrás hozzáadásának befejezéséhez válassza a Hozzáadás lehetőséget.
- Ismételje meg ezt a lépést további előfizetések hozzáadásához.
Nem kötelező: a szolgáltatásvégpont-házirend címkéket konfigurálhat a Címkék területen.
Válassza a Véleményezés + Létrehozás lehetőséget. Ellenőrizze az adatokat, és válassza a Létrehozás lehetőséget. Ha további módosításokat szeretne végezni, válassza az Előző lehetőséget.
Tipp
Először konfigurálja a szabályzatokat a teljes előfizetéshez való hozzáférés engedélyezéséhez. Ellenőrizze a konfigurációt úgy, hogy minden munkafolyamat megfelelően működjön. Ezután szükség esetén újrakonfigurálhatja a szabályzatokat, hogy lehetővé tegyék az egyes tárfiókokat vagy -fiókokat egy erőforráscsoportban. Ehhez válassza ki a Hatókör: mező egyetlen vagy minden fiókját az erőforráscsoportban, és ennek megfelelően töltse ki a többi mezőt.
Szabályzat társítása alhálózattal
A szolgáltatásvégpont-szabályzat létrehozása után társítsa a szabályzatot a felügyelt SQL-példány alhálózatához.
A szabályzat társításához kövesse az alábbi lépéseket:
Az Azure Portal Minden szolgáltatás mezőjében keressen rá a virtuális hálózatokra. Válassza ki a virtuális hálózatokat.
Keresse meg és válassza ki a felügyelt példányt üzemeltető virtuális hálózatot.
Válassza ki az Alhálózatokat , és válassza ki a felügyelt példánynak dedikált alhálózatot. Adja meg a következő adatokat az alhálózat panelen:
- Szolgáltatások: Válassza a Microsoft.Storage lehetőséget. Ha ez a mező üres, konfigurálnia kell az Azure Storage szolgáltatásvégpontát ezen az alhálózaton.
- Szolgáltatásvégpont-szabályzatok: Válassza ki a felügyelt SQL-példány alhálózatára alkalmazni kívánt szolgáltatásvégpont-szabályzatokat.
Válassza a Mentés lehetőséget a virtuális hálózat konfigurálásának befejezéséhez.
Figyelmeztetés
Ha az alhálózat házirendjei nem rendelkeznek az /Services/Azure/ManagedInstance
aliasával, a következő hibaüzenet jelenhet meg: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.
Details: Service endpoint policies on subnet are missing definitions
A probléma megoldásához frissítse az alhálózat összes szabályzatát, hogy tartalmazza az aliast /Services/Azure/ManagedInstance
.
További lépések
- További információ az Azure Storage-fiókok biztonságossá tételéről.
- A felügyelt SQL-példány biztonsági képességeinek ismertetése.
- Ismerje meg a felügyelt SQL-példány kapcsolati architektúráját .