Szolgáltatásvégpont-szabályzatok konfigurálása felügyelt Azure SQL-példányhoz

A következőkre vonatkozik:Azure SQL felügyelt példány

A virtuális hálózat (VNet) Azure Storage szolgáltatásvégpont-szabályzatai lehetővé teszik a kimenő virtuális hálózati forgalom Azure Storage-ba való szűrését, és korlátozhatja az adatátvitelt adott tárfiókokra.

Főbb előnyök

A felügyelt Azure SQL-példány virtuális hálózati Azure Storage-szolgáltatásvégpont-szabályzatainak konfigurálása a következő előnyöket nyújtja:

• Az Azure SQL Managed Instance Azure Storage-ba irányuló forgalmának fokozott biztonsága: A végpontszabályzatok olyan biztonsági vezérlőt hoznak létre, amely megakadályozza az üzleti szempontból kritikus fontosságú adatok hibás vagy rosszindulatú kiszivárgását. A forgalom csak azokra a tárfiókokra korlátozható, amelyek megfelelnek az adatszabályozási követelményeknek.

• A tárfiókok elérésének részletes szabályozása: A szolgáltatásvégpont-házirendek lehetővé teszik a tárfiókok felé irányuló forgalmat előfizetés, erőforráscsoport és egyéni tárfiók szintjén. A rendszergazdák szolgáltatásvégpont-szabályzatokkal kényszeríthetik a szervezet adatbiztonsági architektúrájának betartását az Azure-ban.

• rendszerforgalom nem változik: A szolgáltatásvégpont-szabályzatok soha nem akadályozzák a felügyelt Azure SQL-példány működéséhez szükséges tárolóhoz való hozzáférést. Ez magában foglalja a biztonsági mentések, adatfájlok, tranzakciónapló-fájlok és egyéb eszközök tárolását.

A szolgáltatásvégpont-szabályzatok csak a felügyelt SQL-példány alhálózatából származó és az Azure Storage-ban leálló forgalmat szabályozzák. Ezek nem befolyásolják az adatforgalom egyéb eszközeit; például exportálhatja az adatbázist egy helyszíni BACPAC-fájlba, az Azure Data Factory-integrációba, az adatok más felhőszolgáltatókba való kiszivárgásába vagy más olyan adatkinyerési mechanizmusokba, amelyek nem közvetlenül az Azure Storage-ra irányulnak. Ezek az útvonalak más forgalomszabályozási eszközökkel is védhetők, például a felhasználó által meghatározott útvonalakkal, hálózati biztonsági csoportokkal és az Azure Firewalllal.

Korlátozások

A felügyelt Azure SQL-példány szolgáltatásvégpont-szabályzatainak engedélyezése a következő korlátozásokkal rendelkezik:

• A felügyelt példány alhálózataiban található Azure Storage szolgáltatásvégpont-szabályzatai minden olyan Azure-régióban elérhetők, ahol a felügyelt SQL-példány támogatott, kivéve a szolgáltatásvégpont-szabályzat regionális elérhetőségében felsoroltakat.
• A funkció csak az Azure Resource Manager-alapú üzemi modellen keresztül üzembe helyezett virtuális hálózatok számára érhető el.
• A funkció csak olyan alhálózatokban érhető el, amelyek szolgáltatásvégpontokkal rendelkeznek, az Azure Storage-hoz.
• Ha szolgáltatásvégpont-szabályzatot rendel egy szolgáltatásvégponthoz, az frissíti a végpontot regionálisról globális hatókörre. Más szóval az Azure Storage felé történő összes forgalom a szolgáltatásvégponton halad végig, függetlenül attól, hogy melyik régióban található a tárfiók.
• A tárfiók engedélyezése automatikusan engedélyezi hozzáférést a másodlagos tárfiókhoz (RA-GRS), ha létezik.

Tárolóleltár előkészítése

Mielőtt elkezdené konfigurálni a szolgáltatásvégpont-szabályzatokat egy alhálózaton, írjon egy listát azokról a tárfiókokról, amelyekhez a felügyelt példánynak hozzáféréssel kell rendelkeznie az alhálózatban.

Az alábbiakban felsoroljuk az Azure Storage-hoz esetlegesen kapcsolódó munkafolyamatokat:

• Auditálás az Azure Storage-ba.
• Másolat alapú mentés végrehajtása Azure Storage-ba.
• adatbázis visszaállítása az Azure Storage-ból.
• Adatok importálása BULK INSERT vagy OPENROWSET(BULK ...).
• bővített események naplózása az Azure Storage eseményfájl-célhelyére.
• Az Azure DMS offline áttelepítése Azure SQL Felügyelt Példányba.
• Log Replay Service migrációja a felügyelt Azure SQL-példányba.
• Táblák szinkronizálása tranzakciós replikációshasználatával.

Jegyezze fel a fiók nevét, erőforráscsoportját és előfizetését minden olyan tárfiókhoz, amely részt vesz ezekben vagy bármely más, a tárterülethez hozzáférő munkafolyamatban.

Szabályzatok konfigurálása

Először létre kell hoznia a szolgáltatásvégpont-szabályzatot, majd társítania kell a szabályzatot a felügyelt SQL-példány alhálózatával. Módosítsa az ebben a szakaszban található munkafolyamatot az üzleti igényeinek megfelelően.

Jegyzet

• A felügyelt SQL-példány alhálózatai megkövetelik, hogy a szabályzatok tartalmazzák a /Services/Azure/ManagedInstance szolgáltatás aliasát (lásd az 5. lépést).

Szolgáltatásvégpont-szabályzat létrehozása

Szolgáltatásvégpont-szabályzat létrehozásához kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure portálra .

2. Válassza a + Erőforrás létrehozásalehetőséget.

3. A keresőmezőbe írja be szolgáltatásvégpont-szabályzat, válassza Szolgáltatásvégpont-házirend, majd válassza a Létrehozáslehetőséget.

   

4. Töltse ki a következő értékeket az Alapszintű lapon:

   • Előfizetés: Válassza ki a szabályzat előfizetését a legördülő listából.
   • Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amelyben a felügyelt példány található, vagy válassza Új létrehozása lehetőséget, és adja meg egy új erőforráscsoport nevét.
   • Név: Adjon nevet a szabályzatnak, például mySEP.
   • Hely: Válassza ki a felügyelt példányt üzemeltető virtuális hálózat régióját.

   

5. A szabályzatdefiníciókterületen válassza az Álnév hozzáadása lehetőséget, és adja meg a következő információkat az Álnév hozzáadása panelen:

   • Szolgáltatás aliasa: Válassza a /Services/Azure/ManagedInstance lehetőséget.
   • Válassza a elemet, majd a szolgáltatás aliászának hozzáadásának befejezéséhez adja hozzá a-et.

   

6. A Szabályzatdefiníciókban válassza a + hozzáadása lehetőséget az Erőforrások területen, és adja meg vagy válassza ki a következő információkat az Erőforrás hozzáadása panelen:

   • Szolgáltatás: Válassza Microsoft.Storagelehetőséget.
   • Hatókör: Válassza az előfizetésösszes fiókját .
   • Előfizetés: Válasszon ki egy olyan előfizetést, amely tartalmazza az engedélyezni kívánt tárfiók(ok)t. Tekintse meg korábban létrehozott Azure Storage-fiókok leltárát.
   • Válassza a lehetőséget a hozzáadásának befejezéséhez az erőforrás számára.
   • Ismételje meg ezt a lépést további előfizetések hozzáadásához.

   

7. Nem kötelező: konfigurálhat címkéket a szolgáltatásvégpont-házirendben a Címkékterületen.

8. Válassza a Véleményezés + Létrehozáslehetőséget. Ellenőrizze az adatokat, és válassza a Létrehozáslehetőséget. További módosítások elvégzéséhez válassza Előzőlehetőséget.

Borravaló

Először konfigurálja a szabályzatokat a teljes előfizetéshez való hozzáférés engedélyezéséhez. Ellenőrizze a konfigurációt úgy, hogy minden munkafolyamat megfelelően működjön. Ezután szükség esetén újrakonfigurálhatja a szabályzatokat, hogy lehetővé tegyék az egyes tárfiókokat vagy -fiókokat egy erőforráscsoportban. Ehhez válassza ki Egyetlen fiók vagy Az erőforráscsoport összes fiók a Hatókör mezőben: helyett és ennek megfelelően töltsön ki minden más mezőt.

Szabályzat társítása alhálózattal

A szolgáltatásvégpont-szabályzat létrehozása után társítsa a szabályzatot a felügyelt SQL-példány alhálózatához.

A szabályzat társításához kövesse az alábbi lépéseket:

1. Az Minden szolgáltatás panelben keresse meg a virtuális hálózatot. Válassza Virtuális hálózatoklehetőséget.

2. Keresse meg és válassza ki a felügyelt példányt üzemeltető virtuális hálózatot.

3. Válassza alhálózatok, és válassza ki a felügyelt példánynak dedikált alhálózatot. Adja meg a következő adatokat az alhálózat panelen:

   • Szolgáltatások: Válassza Microsoft.Storagelehetőséget. Ha ez a mező üres, konfigurálnia kell az Azure Storage szolgáltatásvégpontát ezen az alhálózaton.
   • Szolgáltatásvégpont-szabályzatok: Válassza ki a felügyelt SQL-példány alhálózatára alkalmazni kívánt szolgáltatásvégpont-szabályzatokat.

   

4. A virtuális hálózat konfigurálásának befejezéséhez válassza a Mentés lehetőséget.

Figyelmeztetés

Ha az alhálózat házirendjei nem rendelkeznek az /Services/Azure/ManagedInstance aliasával, a következő hibaüzenet jelenhet meg: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions A probléma megoldásához frissítse az alhálózat összes szabályzatát, hogy tartalmazza az /Services/Azure/ManagedInstance aliast.

Következő lépések

• További információ az Azure Storage-fiókokbiztonságossá tételéről.
• További információ felügyelt SQL-példány biztonsági képességeiről.
• Ismerje meg a felügyelt SQL-példány kapcsolati architektúráját.